사이버 보안 회사인 Group-IB는 ResumeLooters라는 해커 그룹이 SQL 및 XSS 공격을 통해 65개의 상업 및 채용 웹사이트에 침투하여 200만 명 이상의 구직자 개인 데이터를 훔쳤다고 발표했습니다.

공격은 APAC 지역에 집중되어 호주, 중국, 태국, 인도, 베트남 등의 웹사이트를 표적으로 삼았습니다. ResumeLooters는 구직자의 이름, 이메일 주소, 전화번호, 근무 이력, 교육 및 기타 관련 정보를 수집했습니다. 그룹-IB에 따르면 이 범죄 조직은 2023년 11월에 설립되었으며 텔레그램 채널을 통해 훔친 데이터를 판매했습니다.

ResumeLooters는 주로 SQLmap, Acunetix, Metasploit...와 같은 오픈소스 도구를 사용하여 SQL과 XSS를 통해 공격하여 소매 및 구인 검색 웹사이트에 침투합니다. 이들은 웹사이트의 보안 취약점을 파악하고 이를 악용한 뒤, HTML의 여러 곳에 악성 명령을 삽입했습니다.

올바르게 주입되면 악성 스크립트 세트가 실행되어 방문자의 정보를 훔치는 피싱 양식을 표시합니다. Group-IB는 해커들이 XSS 스크립트를 포함하기 위해 가짜 고용주 프로필을 만들고 가짜 이력서를 게시하는 등의 맞춤형 기술을 사용하는 사례를 확인했다고 밝혔습니다.

Group-IB는 잘못된 구성으로 인해 도난당한 데이터베이스에 접근할 수 있었으며, 공격자는 손상된 일부 웹사이트에서 관리자 권한을 얻으려고 시도했다고 밝혔습니다. 공격자의 출신지는 확인되지 않았지만, ResumeLooters는 중국어 그룹에서 데이터를 판매하고 오픈소스 도구의 중국어 버전을 사용하고 있는 것으로 알려졌습니다.