【安全圈】

关键词

窃取数据

威胁情报公司 Group-IB 报告称，在 2023 年 11 月至 12 月期间，威胁行为者成功从至少 65 个网站窃取了超过 200 万个电子邮件地址和其他个人信息。

这个被追踪为ResumeLooters的黑客组织主要依靠SQL注入攻击，自2023年初以来一直很活跃，在以中文黑客为主题的Telegram群组上出售被盗信息。

作为 11 月至 12 月活动的一部分，该组织主要袭击了印度（12 个）、台湾（10 个）、泰国（9 个）、越南（7 个）和中国（3 个）的站点。然而，它也以澳大利亚、菲律宾、韩国、日本、美国、巴西、俄罗斯和意大利的受害者为目标。

该组织主要专注于破坏零售和招聘网站，但也确定了专业服务、交付、房地产和投资部门的受害者。

观察到的攻击类似于 GambleForce 发起的攻击，GambleForce 是一个威胁行为者，依靠 SQL 注入来破坏亚太地区的赌博和政府网站。

与 GambleForce 一样，ResumeLooters 在其 SQL 注入攻击中使用了各种开源工具和渗透测试框架。

然而，主要区别在于 ResumeLooters 还使用了注入合法求职网站的 XSS 脚本，旨在显示网络钓鱼表单并获取管理凭据。这些脚本在至少四个网站和一些具有管理访问权限的设备上执行。

在一个例子中，该组织在招聘网站上创建了一个虚假的雇主资料，并使用个人资料中的一个字段注入了XSS脚本。在另一个例子中，XSS代码包含在伪造的简历中。

通过注入恶意 SQL 查询，威胁行为者能够检索包含近 220 万行的数据库，其中超过 500,000 行是来自就业网站的用户数据。

Group-IB说：“ResumeLooters被证实窃取了几个数据库，其中包含2,079,027封独特的电子邮件和其他记录，例如姓名，电话号码，出生日期，以及有关求职者经验和工作经历的信息。

Group-IB指出，由于安全性差和数据库管理实践不足，这些攻击表明，公开可用的工具可以造成多大的损害，并指出公司可以轻松避免成为GambleForce和ResumeLooters等组织的受害者。

“除了可能暴露求职者的数据（包括电话号码、电子邮件地址和其他个人信息）外，各种 APT 组织还可以利用这些信息进一步针对特定个人，”这家网络安全公司指出。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！