Perusahaan di bidang cybersecurity, Group-IB mengidentifikasi adanya kampanye jahat berskala besar yang menyasar utamanya website pencari kerja dan retail di kawasan Asia Pasifik.
Dinamai ResumeLooters oleh unit Threat Intelligence Group-IB, kelompok ini telah menginfeksi setidaknya 65 situs web sepanjang November hingga Desember 2023 dengan menggunakan metode serangan SQL injection dan Cross-Site Scripting (XSS). Menurut keterangan Group-IB, kebanyakan korbannya berada di India, Taiwan, Thailand, Vietnam, China, dan Australia.
Dikonfirmasi oleh Group-IB, ResumeLooters telah mencuri sejumlah database berisi 2.079.027 email unik dan data lainnya, seperti nama, nomor telepon, tanggal lahir, termasuk informasi mengenai pengalaman para pencari kerja. Data-data curian tersebut kemudian ditawarkan di kanal-kanal Telegram. Group-IB telah mengirimkan notifikasi kepada korban yang teridentifikasi sehingga mereka dapat mengambil langkah-langkah untuk menghindari kerusakan yang lebih parah.
Beroperasi sejak awal tahun 2023, ResumeLooters menggunakan beberapa framework penetration testing dan tool open source, seperti sqlmap, Acunetix, Beef Framework, X-Ray, Metasploit, ARL, dan Dirsearch.
Menurut Group-IB, kelompok ini berhasil menginjeksi SQL query jahat ke 65 situs web job search, retail, dan situs web lainnya. Mereka mengambil 2.188.444 baris data, dan 510.259 baris di antaranya adalah data user dari situs web rekrutmen pekerja.
Terkait lokasi, lebih dari 70% korban ResumeLooters yang sudah teridentifikasi berada di Asia Pasifik. Kelompok ini memfokuskan aktivitasnya di India (12 korban), Taiwan (10), Thailand (9), Vietnam (7), China (3), Australia (2), Filipina (1), Korea Selatan (1), dan Jepang (1). Meski begitu, situs web yang diserang ternyata tidak hanya berlokasi di Asia Pasifik, tapi juga Brasil, AS,Turki, Rusia, Meksiko, dan Italia.
Selain itu, para peneliti Group-IB juga menemukan dua akun Telegram yang terkait dengan aktor ancaman. Kedua akun digunakan untuk menjual data-data curian dalam grup Telegram berbahasa China yang membahas hacking dan penetration testing.
“Dalam waktu kurang dari dua bulan, kami telah mengidentifikasi aktor ancaman lainnya yang melakukan serangan SQL injection terhadap perusahaan-perusahaan di Asia Pasifik,” jelas Nikita Rostovcev, Senior Analyst, Advanced Persistent Threat Research Team, Group-IB.
Menurut Rostovcev, hal ini sangat mengejutkan karena beberapa jenis serangan SQL jadul tapi efektif masih banyak terjadi di kawasan ini. “Namun, kegigihan kelompok ResumeLooters ini menonjol ketika mereka bereksperimen dengan beragam metode untuk mengeksploitasi kerentanan, termasuk serangan XSS. Selain itu, serangan geng tersebut mencakup wilayah geografis yang luas,” jelas Nikita Rostovcev.
Group-IB melihat adanya peningkatan minat para pelaku ancaman di kawasan Asia-Pasifik. Pada bulan Desember 2023, Grup-IB mengeluarkan laporan tentang GambleForce, kelompok lain yang melakukan lebih dari 20 serangan injeksi SQL terhadap perjudian dan situs web pemerintah di wilayah tersebut.
Berbeda dengan GambleForce yang fokus pada injeksi SQL, ResumeLooters menerapkan modus operandi yang lebih beragam. Selain serangan SQL injection, kelompok ini juga berhasil menggunakan XSS script terhadap setidaknya empat situs web job search yang resmi. Di salah satu situs web ini, para penyerang menanamkan skrip jahat dengan membuat profil perusahaan palsu. Dengan cara ini, para penyerang dapat mencuri kode HTML dari halaman-halaman web yang dikunjungi para korban, termasuk yang menggunakan akses administratif.
Skrip XSS jahat ini juga ditujukan untuk menampilkan formulir-formulir phishing di sumber-sumber resmi. Para peneliti meyakini bahwa tujuan utama kelompok ini adalah mencuri kredensial admin. Namun Group-IB tidak menemukan bukti-bukti bahwa mereka berhasil mencuri kredensial administratif.