Недавно обнаруженная уязвимость нулевого дня в Oracle PeopleSoft стала излюбленным инструментом в недавней кампании вымогательства ShinyHunters, нацеленной преимущественно на университеты и другие образовательные учреждения.
Злоумышленники использовали критическую уязвимость удаленного выполнения кода (RCE) в компоненте Environment Management PeopleSoft, о которой Oracle начала предупреждать клиентов 10 июня 2026 года. В рекомендации компания настоятельно призвала к немедленному установлению исправлений, не указывая на активную эксплуатацию этой уязвимости.
Команда Google Cloud Threat Intelligence (GTIG) сообщила, что атака разворачивалась с 27 мая по 9 июня, до того как Oracle публично признала проблему. Google уведомила более 100 организаций, чьи системы, доступные из интернета, предположительно оказались под угрозой; 68% выявленных целей принадлежали сектору высшего образования.
«В то время как нескольким организациям удалось заблокировать активность или устранить уязвимости, другие подверглись компрометации, что привело к публикации украденных данных на DLS (сайте утечки данных) ShinyHunters», — говорится в записи в блоге GTIG.
Oracle не сразу ответила на запрос CSO о комментариях.
Сообщается, что ShinyHunters, или группы, пытающиеся использовать их имя, опубликовали загружаемые доказательства атаки на своем DLS 9 июня. В сообщении утверждалось, что скомпрометированные данные включали «более 40 ГБ счетов и платежных ведомостей, данные кредитных карт и платежей, информацию о студенческом финансировании и выгрузки из порталов кампуса».
В последующем сообщении от 11 июня злоумышленники угрожали утечкой данных, если жертвы, с которыми они связались, не ответят в установленные «сроки».
Джеймс Дэвисон, директор по стратегии в Pathlock, отметил, что инцидент отражает эволюцию ландшафта угроз. «Взлом Oracle PeopleSoft — пример нового типа атак, с которыми столкнется любая ERP-система в современном мире, основанном на агентах», — сказал он, указывая на легкость атак в эпоху ИИ. «Компаниям необходимо переоценить безопасность и контроль своих ERP-систем и адаптироваться, поскольку они подвержены риску».
Уязвимость PeopleSoft дала атакующим фору
Кампания основывалась на CVE-2026-35273 — критической уязвимости в компоненте Environment Management Oracle PeopleSoft с оценкой CVSS 9.8 из 10, которая позволяет неаутентифицированное RCE на уязвимых системах, доступных из интернета.
Согласно рекомендациям Oracle, уязвимость затрагивает PeopleSoft Enterprise PeopleTools версий 8.61 и 8.62, и меры по смягчению последствий доступны только для поддерживаемых версий. Более ранним версиям, которые могли быть затронуты этой уязвимостью, было рекомендовано обновиться до поддерживаемых версий.
После использования CVE-2026-35273 для получения первоначального доступа злоумышленник перешел к установлению постоянства и поддержанию удаленного контроля над скомпрометированными системами. Исследователи Google обнаружили, что UNC6240, кластер, связанный с ShinyHunters, развертывал настраиваемую версию платформы удаленного мониторинга и управления (RMM) с открытым исходным кодом MeshCentral. Они сделали это, маскируя платформу под легитимные сервисы Microsoft Azure.
«Агент (MeshCentral) — это программное обеспечение, которое работает на удаленных устройствах и позволяет удаленное управление различными операционными системами, включая Windows, Linux, macOS и FreeBSD», — заявили исследователи. «Статический анализ показал, что эти агенты имели жестко закодированную установку для связи с командно-контрольным (C2) сервером wss://azurenetfiles.net:443/agent.ashx».
После установки инструмент позволял операторам удаленно выполнять команды и продолжать взаимодействие с зараженными средами.
Атакующие оставили свет включенным
Частично расследованию Google помогли операционные ошибки, допущенные самими злоумышленниками. Кампания впервые привлекла широкое внимание после того, как исследователь безопасности, известный в X как @nahamike01, сообщил об обнаружении инфраструктуры операции, выставленной в интернет.
«ShinyHunters раскрыли несколько каталогов, демонстрирующих продолжающуюся нацеленность на среды PeopleSoft», — сообщил исследователь в посте в X. «Также были видны материалы для развертывания, включая агенты MeshCentral, и скрипт для дефейса и брутфорса учетных данных».
Google заявила, что каталоги злоумышленников, выставленные @nahamike01, помогли ее команде проанализировать содержимое, включая материалы для развертывания, настраиваемые агенты и истории команд атакующих. Каталоги были доступны по пяти последовательным IP-адресам (142.11.200[.]186-190), что сделало их основными индикаторами компрометации (IOC).
Google настоятельно рекомендовала организациям применить исправления для CVE-2026-35273 и проверить развертывания PeopleSoft на наличие индикаторов, связанных с кампанией. Исследователи также посоветовали организациям проверить привилегированный доступ, включить всеобъемлющее логирование и усилить мониторинг несанкционированных установок MeshCentral.
«Эта атака показывает, что традиционная периметровая безопасность и аутентификация на уровне IdP необходимы, но недостаточны», — сказал Дэвисон. «Современная безопасность ERP требует многоуровневого подхода, сочетающего превентивные меры контроля, непрерывный мониторинг и видимость действий пользователей. Видимость действий пользователей здесь ключевая; поведенческий мониторинг для выявления исключений — это уже не просто “приятное дополнение”».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
