威胁情报公司 Group-IB 报告称,2023 年 11 月至 12 月期间,一名威胁行为者成功从至少 65 个网站窃取了超过 200 万个电子邮件地址和其他个人信息。
该黑客组织主要依靠SQL注入攻击,追踪为 简历掠夺者,自 2023 年初以来一直活跃,在中文黑客主题 Telegram 群组上出售被盗信息。
作为 11 月至 12 月活动的一部分,该组织主要袭击了印度 (12)、台湾 (10)、泰国 (9)、越南 (7) 和中国 (3) 的地点。 然而,它也被发现针对澳大利亚、菲律宾、韩国、日本、美国、巴西、俄罗斯和意大利的受害者。
该组织主要关注零售和招聘网站,但也发现了专业服务、送货、房地产和投资领域的受害者。
观察到的攻击类似于 赌博力量,一个依靠 SQL 注入来危害亚太地区赌博和政府网站的威胁行为者。
与 GambleForce 一样,ResumeLooters 在 SQL 注入攻击中也使用了各种开源工具和渗透测试框架。
然而,主要区别在于 ResumeLooters 还使用注入合法求职网站的 XSS 脚本,旨在显示网络钓鱼表单并获取管理凭据。 这些脚本在至少四个网站和一些具有管理访问权限的设备上执行。
在一个例子中,该组织在招聘网站上创建了一份虚假的雇主资料,并使用该资料中的一个字段注入了 XSS 脚本。 在另一个例子中,XSS 代码被包含在伪造的简历中。
通过注入恶意 SQL 查询,攻击者能够检索包含近 220 万行的数据库,其中超过 50 万行代表来自就业网站的用户数据。
Group-IB 表示:“ResumeLooters 已被证实窃取了多个数据库,其中包含 2,079,027 封独特的电子邮件和其他记录,例如姓名、电话号码、出生日期以及有关求职者的经历和就业历史的信息。”
Group-IB 指出,由于安全性差和数据库管理实践不足,这些攻击表明使用公开可用的工具可以造成多大的损害,并指出公司可以轻松避免成为 GambleForce 和 ResumeLooters 等组织的受害者。
该网络安全公司指出:“除了潜在暴露求职者数据(包括电话号码、电子邮件地址和其他个人信息)之外,各种 APT 组织还可以利用这些信息来进一步针对特定个人。”
有关的: 联合国警告东南亚数十万人陷入网络诈骗
1707251924
#通过 #SQL #注入攻击从 #个网站窃取数百万条用户记录
2024-02-06 15:50:58
