ResumeLooters नामक एक ख़तरनाक समूह ने SQL इंजेक्शन और क्रॉस-साइट स्क्रिप्टिंग (XSS) हमलों का उपयोग करके 65 वैध नौकरी लिस्टिंग और खुदरा साइटों को हैक करने के बाद दो मिलियन से अधिक नौकरी चाहने वालों की व्यक्तिगत जानकारी चुरा ली।
ResumeLooters ने मुख्य रूप से एशिया-प्रशांत क्षेत्र पर ध्यान केंद्रित किया, जानकारी के मुताबिक आवेदकों के नाम, ईमेल पते, फोन नंबर, रोजगार इतिहास, शिक्षा और अन्य प्रासंगिक जानकारी चुराने के लिए ऑस्ट्रेलिया, ताइवान, चीन, थाईलैंड, भारत और वियतनाम की वेबसाइटों को निशाना बनाया। ग्रुप-आईबी के अनुसार, नवंबर 2023 में, सीवी लुटेरों ने टेलीग्राम चैनलों के माध्यम से चोरी किए गए डेटा को बेचने का प्रयास किया।
ResumeLooters द्वारा वैध वेबसाइटों से समझौता करना
ResumeLooters लक्षित वेबसाइटों, मुख्य रूप से नौकरी खोज साइटों और खुदरा स्टोरों में घुसपैठ करने के लिए SQL इंजेक्शन और XSS का उपयोग करता है।
प्रवेश परीक्षण चरण में ओपन सोर्स टूल का उपयोग शामिल था जैसे:
SQLMap – डेटाबेस सर्वर से डेटा कैप्चर करके SQL इंजेक्शन त्रुटियों का पता लगाने और शोषण को स्वचालित करता है।
एक्यूनेटिक्स – वेब-आधारित भेद्यता स्कैनर XSS और SQL इंजेक्शन जैसी सामान्य कमजोरियों की पहचान करता है और उपचारात्मक रिपोर्ट प्रदान करता है।
बीफ़ फ्रेमवर्क – क्लाइंट-साइड वैक्टर का उपयोग करके लक्ष्य की सुरक्षा स्थिति का आकलन करके वेब ब्राउज़र में कमजोरियों का फायदा उठाता है।
एक्स-रे – वेब अनुप्रयोगों की कमजोरियों, संरचना और संभावित कमजोरियों का पता लगाता है।
मेटास्प्लोइट – लक्ष्यों के विरुद्ध शोषण कोड विकसित और निष्पादित करें। इसका उपयोग सुरक्षा मूल्यांकन के लिए भी किया जाता है।
एआरएल (एसेट डिटेक्शन बीकन) – आपके नेटवर्क इंफ्रास्ट्रक्चर में संभावित कमजोरियों की पहचान करने के लिए ऑनलाइन संपत्तियों को स्कैन और मैप करता है।
डिरसर्च – छिपे हुए संसाधनों की खोज के लिए वेब अनुप्रयोगों में निर्देशिकाओं और फ़ाइलों को क्रॉल करने के लिए एक कमांड-लाइन टूल।
लैंडिंग पृष्ठों पर कमजोरियों की पहचान करने और उनका फायदा उठाने के बाद, ResumeLooters वेबसाइट के HTML में कई स्थानों पर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करता है।
इनमें से कुछ को एम्बेडेड स्क्रिप्ट शुरू करने के लिए डाला जाता है, जबकि अन्य स्थान, जैसे: उदाहरण के लिए, फॉर्म तत्व और एंकर टैग, बस एम्बेडेड स्क्रिप्ट को प्रदर्शित करते हैं जैसा कि नीचे दिखाया गया है।
हालाँकि, जब इसे सही तरीके से डाला जाता है, तो यह एक दुर्भावनापूर्ण रिमोट स्क्रिप्ट चलाता है जो विज़िटर की जानकारी चुराने के लिए फ़िशिंग फ़ॉर्म प्रदर्शित करता है।
ग्रुप-आईबी ने ऐसे मामले भी देखे जहां हमलावरों ने कस्टम अटैक तकनीकों का इस्तेमाल किया, जैसे नकली नियोक्ता प्रोफाइल बनाना या एक्सएसएस स्क्रिप्ट का उपयोग करके नकली बायोडाटा जमा करना।
हमलावरों द्वारा किए गए एक OpSec दोष ने ग्रुप-आईबी को चुराए गए डेटा वाले डेटाबेस से समझौता करने की अनुमति दी, जिससे पता चला कि ResumeLooters समझौता की गई वेबसाइट के कुछ हिस्सों तक प्रशासनिक पहुंच हासिल करने में सक्षम थे।
Read Also: Samsung 1 मार्च, 2024 से अपने सभी Smart TV से हटा रहा है यह ‘जरूरी’ फीचर!
ResumeLooters के चीन से होने की संभावना
ResumeLooters वित्तीय लाभ के लिए इन हमलों को अंजाम देता है और चुराए गए डेटा को चीनी नाम “पेनेट्रेशन डेटा सेंटर” और “वर्ल्ड डेटा अली” के तहत कम से कम दो टेलीग्राम खातों के माध्यम से अन्य साइबर अपराधियों को स्थानांतरित करता है जिन्होंने इसे बेचने की कोशिश की है।
हालाँकि ग्रुप-आईबी ने विशेष रूप से हमलावरों की उत्पत्ति की पुष्टि नहीं की है, रेज़्यूमलूटर्स एक चीनी भाषी समूह है जो चोरी का डेटा बेचता है और एक्स-रे जैसे उपकरणों के चीनी संस्करणों का उपयोग करता है। सबसे अधिक संभावना है कि वे चीन से आये हों।