Хакерська група, відома як ResumeLooters, з початку 2023 року активізувала свої атаки на агентства з працевлаштування та роздрібні компанії, переважно в Азіатсько-Тихоокеанському регіоні (APAC), з метою крадіжки конфіденційних даних. За даними компанії Group-IB, з листопада по грудень 2023 року було скомпрометовано 65 веб-сайтів, з яких було вкрадено понад 2 мільйони записів користувацьких даних, включаючи 510 259 резюме з сайтів пошуку роботи.
ResumeLooters використовують SQL-ін’єкції для викрадення баз даних користувачів, що містять імена, номери телефонів, електронні адреси, дати народження, а також інформацію про досвід роботи та історію трудоустрою. Вкрадені дані потім виставляються на продаж у каналах Telegram та чатах. Крім того, було виявлено зараження міжсайтовим скриптингом (XSS) на декількох законних веб-сайтах пошуку роботи, що призводить до відображення фішингових сторінок для збору адміністративних учетних даних.
Більшість атакованих веб-сайтів розташовані в Індії, Тайвані, Таїланді, В’єтнамі, Китаї, Австралії та Туреччині, але також були повідомлення про компрометацію з Бразилії, США, Росії, Мексики та Італії. ResumeLooters використовують відкритий інструмент sqlmap для проведення SQL-ін’єкцій, а також інші інструменти, такі як Metasploit, dirsearch і xray, для видалення та виконання додаткових даних.
Ці атаки викликані слабкою безпекою та неадекватними методами управління базами даних та веб-сайтами. Дослідники з кібербезпеки, підкреслюють, що навіть деякі з найстаріших методів SQL-атак залишаються надзвичайно ефективними в регіоні, але упорство групи ResumeLooters виділяється їхніми експериментами з різними методами використання уразливостей.