SOC Prime Bias: 重大

16 Jun 2026 13:03 UTC
newspaper icon Google Cloud Blog

ShinyHunters、Oracle PeopleSoftの脆弱性を利用して教育セクターを狙う

Author Photo
SOC Prime Team linkedin icon フォローする
ShinyHunters、Oracle PeopleSoftの脆弱性を利用して教育セクターを狙う
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


概要

UNC6240(別名:ShinyHunters)と呼ばれる脅威アクターが、Oracle PeopleSoft環境に対して活発な侵入と恐喝キャンペーンを実施しています。攻撃者はEnvironment Managementコンポーネントのゼロデイ・リモートコード実行の脆弱性を悪用して初期アクセスを獲得し、その後、MeshCentralをコマンド・アンド・コントロールに使用し、横方向移動とデータ窃取を支援するためのカスタムスクリプトを使用しています。

調査

Mandiant と Google Threat Intelligence Group は、漏洩した攻撃者のステージングディレクトリを分析することでキャンペーンを発見しました。調査では、不正な MeshCentral エージェントをホスティングする Python SimpleHTTP サーバーとコマンド履歴のアーティファクトが明らかになりました。研究者たちは、CVE-2026-35273の悪用から、ShinyHuntersデータ漏洩サイトでのデータ露出に至る侵入経路を追跡しました。

軽減策

組織は直ちに Environment Management Hub (EMHub) サービスを無効化するか、PSEMHUB アプリケーションを完全に削除する必要があります。周辺防御は外部からのアクセスをブロックするべきです /PSEMHUB/* and /PSIGW/HttpListeningConnector エンドポイント。追加の強化措置としては、不正な .jsp ファイルについてのウェブティアのファイルシステム監査、新しい疑わしいディレクトリの監視、及び予期しないアウトバウンドSMBトラフィックの監視が含まれます。

対応

もし侵入が疑われる場合、組織は脆弱な PeopleSoft エンドポイントへのアクセスを制限し、WebLogicのアクセスログを不審なPOST活動を確認するべきです。フォレンジックチームは、PSEMHUBディレクトリで不許可ファイルの検索やXMLDecoderに基づく永続性の調査を行うべきです。可能なNTLMハッシュ取得の試みを特定するために、ポート445のアウトバウンドモニタリングも有効にしてください。

graph TB %% クラス定義 classDef action fill:#99ccff classDef tool fill:#cccccc classDef vulnerability fill:#ff9999 classDef file fill:#ccffcc %% 初期アクセス段階 vuln_psemhub[“<b>脆弱性</b><br/>CVE-2026-35273<br/>Oracle PeopleSoft<br/>Environment Management コンポーネント (PSEMHUB) の悪用”] class vuln_psemhub vulnerability action_initial_access[“<b>アクション</b> – T1210: リモートサービスの悪用<br/><b>説明</b>: PSEMHUB のゼロデイ RCE 脆弱性を悪用し、<br/>初期アクセスを取得する。”] class action_initial_access action %% コマンド&コントロール段階 tool_meshcentral[“<b>ツール</b> – MeshCentral<br/><b>説明</b>: C2 構築のために使用される<br/>リモート管理サーバー。<br/><b>種類</b>: リモートアクセスツール”] class tool_meshcentral tool tool_acme_client[“<b>ツール</b> – acme-client (npm パッケージ)<br/><b>説明</b>: 偽装ドメイン azurenetfiles.net 用の<br/>SSL 証明書発行を自動化する。”] class tool_acme_client tool file_meshagent[“<b>ファイル</b> – meshagent64-azure-ops.exe<br/><b>説明</b>: リモート管理を可能にする<br/>カスタマイズされた Windows MeshCentral エージェント。”] class file_meshagent file %% 偵察段階 action_recon[“<b>アクション</b> – T1082: システム情報探索<br/><b>説明</b>: Oracle PeopleSoft の設定情報を調査し、<br/>ネットワークマウントを監査する。”] class action_recon action tool_meshctrl[“<b>ツール</b> – meshctrl.js<br/><b>説明</b>: 調査活動に使用される<br/>MeshCentral コマンドラインユーティリティ。”] class tool_meshctrl tool file_config_files[“<b>対象ファイル</b><br/>psappsrv.cfg および WebLogic config.xml<br/>設定情報のマッピングに使用される。”] class file_config_files file %% 横方向移動段階 action_lateral[“<b>アクション</b> – T1110.003: ブルートフォース攻撃: パスワードスプレー<br/><b>説明</b>: 内部ホストに対して<br/>SSH 認証情報のスプレー攻撃を実行する。”] class action_lateral action script_fanout[“<b>ファイル/スクリプト</b> – [victim_abbreviation]_fanout.sh<br/><b>説明</b>: 認証情報スプレーおよび<br/>恐喝ファイル拡散用のカスタム Bash スクリプト。”] class script_fanout file file_extort[“<b>ファイル</b> – README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT<br/><b>説明</b>: 改ざんおよび恐喝を示す<br/>マーカーファイル。”] class file_extort file %% 流出段階 action_exfil[“<b>アクション</b> – T1560: 収集データのアーカイブ<br/><b>説明</b>: 窃取したデータを<br/>流出前に圧縮する。”] class action_exfil action tool_zstd[“<b>ツール</b> – zstd<br/><b>説明</b>: 流出対象ディレクトリを<br/>圧縮するために使用されるユーティリティ。”] class tool_zstd tool %% 接続 vuln_psemhub –>|悪用される| action_initial_access action_initial_access –>|C2を確立| tool_meshcentral tool_meshcentral –>|使用する| tool_acme_client tool_meshcentral –>|展開する| file_meshagent tool_meshcentral –>|支援する| action_recon action_recon –>|使用する| tool_meshctrl action_recon –>|調査する| file_config_files action_recon –>|につながる| action_lateral action_lateral –>|実行する| script_fanout script_fanout –>|拡散する| file_extort script_fanout –>|につながる| action_exfil action_exfil –>|使用する| tool_zstd

攻撃の流れ

シミュレーション実行

前提条件:テレメトリーとベースライン事前チェックが合格している必要があります。

理由:このセクションでは、検出ルールを引き起こすために設計された攻撃者の手法 (TTP) の正確な実行を詳述します。コマンドと説明は特定されたいTTPに直接反映され、検出ロジックによって期待される正確なテレメトリを生成する必要があります。抽象的または無関係な例は誤診につながります。

  • 攻撃のストーリーとコマンド: 攻撃者はOracle PeopleSoftの脆弱性を利用して不正なアクセスを得たり、特権を昇格させようとします。まず、彼らはPOSTリクエストを送信して偵察を行い、 PSEMHUB/hub サービスの可用性を確認します。次に、悪意のある .jsp ファイルを PSEMHUB.war アプリケーションディレクトリに書き込み、特に envmetadata/transactions/ パスを狙って、正当なアプリケーションメタデータ構造に偽装して活動を隠蔽します。

  • 回帰テストスクリプト:

    #!/bin/bash
# Oracle PeopleSoft PSEMHUB 悪用のシミュレーションスクリプト

echo "[+] シミュレーション開始..."

# 1. selection_webservice_requests をトリガー (HTTP POST)
echo "[+] ステップ1: 不正な POST リクエスト送信中..."
curl -X POST "http://localhost/PSEMHUB/hub" -d "cmd=exploit"
curl -X POST "http://localhost/PSIGW/HttpListeningConnector" -d "cmd=exploit"

# 2. selection_fs_operations をトリガー (ファイル作成)
echo "[+] ステップ2: ターゲットディレクトリでの不正な .jsp ファイルの作成..."

# シミュレーション用にディレクトリを確保(実際のテストではこれはターゲット)
mkdir -p /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/

# 悪意のあるJSPファイルを作成
echo "<% out.println("Exploited"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp

# ワイルドカードマッチをテストするために別の .jsp ファイルを war ディレクトリに作成
echo "<% out.println("Malicious"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp

echo "[+] シミュレーション完了。SIEM でアラートを確認してください。"

  • クリーンアップ コマンド:

    #!/bin/bash
# クリーンアップ スクリプト

echo "[+] シミュレーションアーティファクトをクリーンアップ中..."
rm -f /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp
rm -f /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp
# 注意: 本番環境ではディレクトリを削除せず、テスト用に作成されたファイルのみを削除してください。
echo "[+] クリーンアップ完了。"

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加