Beschäftigungsagenturen und Einzelhandelsunternehmen in der asiatisch-pazifischen Region wurden seit Anfang 2023 von einer bisher nicht bekannten Gruppe namens ResumeLooters ins Visier genommen, deren Ziel es ist, sensible Daten zu stehlen.
Die Hacking-Gruppe mit Sitz in Singapur hat sich auf Jobportale und den Diebstahl von Lebensläufen spezialisiert. Zwischen November und Dezember 2023 wurden insgesamt 65 Websites kompromittiert. Es wird geschätzt, dass die gestohlenen Dateien 2.188.444 Benutzerdatensätze enthalten, von denen 510.259 von Jobportalen stammen. Innerhalb des Datensatzes sind über zwei Millionen eindeutige E-Mail-Adressen vorhanden.
Die Bedrohung tritt durch SQL-Injection-Angriffe auf Websites auf, bei denen versucht wird, Benutzerdatenbanken zu stehlen. Dabei können Namen, Telefonnummern, E-Mails, Geburtsdaten sowie Informationen zur Berufserfahrung, zur Beschäftigungsgeschichte und andere sensiblen persönlichen Daten von Jobsuchenden erbeutet werden. Die gestohlenen Daten werden dann in Telegram-Kanälen zum Verkauf angeboten.
Group-IB hat auch Beweise für Cross-Site-Scripting (XSS)-Infektionen auf mindestens vier legitimen Jobportalseiten gefunden. Dabei werden bösartige Skripte geladen, die Phishing-Seiten anzeigen können, welche Administrator-Anmeldeinformationen sammeln können.
ResumeLooters ist die zweite Gruppe nach GambleForce, die seit Ende Dezember 2023 SQL-Injections-Angriffe in der APAC-Region durchführt.
Die Mehrheit der kompromittierten Websites stammt aus Indien, Taiwan, Thailand, Vietnam, China, Australien und der Türkei, es wurden jedoch auch Kompromittierungen aus Brasilien, den USA, Russland, Mexiko und Italien gemeldet.
Die Arbeitsweise von ResumeLooters besteht darin, das Open-Source-Tool sqlmap für SQL-Injections-Angriffe zu verwenden und zusätzliche Payloads wie das Penetrationstest-Tool BeEF (Browser Exploitation Framework) und bösartigen JavaScript-Code abzulegen und auszuführen, um sensible Daten zu sammeln und Benutzer auf Seiten umzuleiten, wo Anmeldeinformationen abgefangen werden können.
Die Analyse der Infrastruktur der Täter durch das Cybersicherheitsunternehmen zeigt die Verwendung weiterer Tools wie Metasploit, dirsearch und xray sowie einen Ordner, in dem die gestohlenen Daten gehostet werden.
Die Kampagne scheint finanziell motiviert zu sein, da ResumeLooters im letzten Jahr zwei Telegram-Kanäle namens 渗透数据中心 und 万国数据阿力 eingerichtet hat, um die Informationen zu verkaufen.
„ResumeLooters ist ein weiteres Beispiel dafür, wie viel Schaden mit nur einer Handvoll öffentlich verfügbarer Tools angerichtet werden kann“, sagte Rostovcev. „Diese Angriffe werden durch schlechte Sicherheitsmaßnahmen sowie unzureichendes Datenbank- und Website-Management angeheizt.“