Các cơ quan việc làm và các công ty bán lẻ chủ yếu ở khu vực châu Á - Thái Bình Dương (APAC) đã bị nhắm mục tiêu bởi một tác nhân đe dọa không có giấy tờ trước đây được gọi là ResumeLooters kể từ đầu năm 2023 với mục tiêu đánh cắp dữ liệu nhạy cảm.
Group-IB có trụ sở tại Singapore cho biết các hoạt động của nhóm hacker hướng tới các nền tảng tìm kiếm việc làm và đánh cắp hồ sơ, với khoảng 65 trang web bị xâm nhập từ tháng 11/2023 đến tháng 12/2023.
Các tệp bị đánh cắp ước tính chứa 2.188.444 hồ sơ dữ liệu người dùng, trong đó 510.259 đã được lấy từ các trang web tìm kiếm việc làm. Hơn hai triệu địa chỉ email duy nhất có mặt trong tập dữ liệu.
"Bằng cách sử dụng các cuộc tấn công SQL injection chống lại các trang web, tác nhân đe dọa cố gắng đánh cắp cơ sở dữ liệu người dùng có thể bao gồm tên, số điện thoại, email và DoB, cũng như thông tin về trải nghiệm của người tìm việc, lịch sử việc làm và dữ liệu cá nhân nhạy cảm khác", nhà nghiên cứu bảo mật Nikita Rostovcev cho biết trong một báo cáo được chia sẻ với The Hacker VN.
"Dữ liệu bị đánh cắp sau đó được đưa ra bán bởi tác nhân đe dọa trong các kênh Telegram."
Group-IB cho biết họ cũng phát hiện ra bằng chứng về sự lây nhiễm cross-site scripting (XSS) trên ít nhất bốn trang web tìm kiếm việc làm hợp pháp được thiết kế để tải các tập lệnh độc hại chịu trách nhiệm hiển thị các trang lừa đảo có khả năng thu thập thông tin đăng nhập của quản trị viên.
ResumeLooters là nhóm thứ hai sau GambleForce bị phát hiện tổ chức các cuộc tấn công SQL injection ở khu vực APAC kể từ cuối tháng 12/2023.
Phần lớn các trang web bị xâm nhập có trụ sở tại Ấn Độ, Đài Loan, Thái Lan, Việt Nam, Trung Quốc, Úc và Thổ Nhĩ Kỳ, mặc dù các thỏa hiệp cũng đã được báo cáo từ Brazil, Mỹ, Thổ Nhĩ Kỳ, Nga, Mexico và Ý.
Phương thức hoạt động của ResumeLooters liên quan đến việc sử dụng công cụ sqlmap mã nguồn mở để thực hiện các cuộc tấn công SQL injection và thả và thực thi các tải trọng bổ sung như công cụ kiểm tra thâm nhập BeEF (viết tắt của Browser Exploitation Framework) và mã JavaScript giả mạo được thiết kế để thu thập dữ liệu nhạy cảm và chuyển hướng người dùng đến các trang thu thập thông tin xác thực.
Phân tích của công ty an ninh mạng về cơ sở hạ tầng của tác nhân đe dọa cho thấy sự hiện diện của các công cụ khác như Metasploit, dirsearch và xray, cùng với một thư mục lưu trữ dữ liệu bị đánh cắp.
Chiến dịch dường như có động cơ tài chính, vì thực tế là ResumeLooters đã thiết lập hai kênh Telegram có tên 渗透数据中心 và 万国数据阿力 vào năm ngoái để bán thông tin.
"ResumeLooters là một ví dụ khác về mức độ thiệt hại có thể được thực hiện chỉ với một số ít các công cụ có sẵn công khai", Rostovcev nói. "Những cuộc tấn công này được thúc đẩy bởi bảo mật kém cũng như thực tiễn quản lý cơ sở dữ liệu và trang web không đầy đủ."
"Thật ấn tượng khi thấy một số cuộc tấn công SQL lâu đời nhất nhưng hiệu quả đáng kể vẫn còn phổ biến trong khu vực. Tuy nhiên, sự kiên trì của nhóm ResumeLooters nổi bật khi họ thử nghiệm các phương pháp khai thác lỗ hổng đa dạng, bao gồm cả các cuộc tấn công XSS.