SOC Prime Bias: Kritisch

16 Jun 2026 13:03 UTC

ShinyHunters zielt Bildungssektor mit Oracle PeopleSoft Exploit ab

Author Photo
SOC Prime Team linkedin icon Folgen
ShinyHunters zielt Bildungssektor mit Oracle PeopleSoft Exploit ab
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Der Bedrohungsakteur UNC6240, auch bekannt als ShinyHunters, führt eine aktive Kompromittierungs- und Erpressungskampagne gegen Oracle PeopleSoft-Umgebungen durch. Die Angreifer nutzen eine Zero-Day-Remote-Code-Execution-Schwachstelle in der Komponente Environment Management aus, um anfänglichen Zugriff zu erlangen. Anschließend setzen sie MeshCentral zur Befehls- und Kontrollübermittlung ein und nutzen benutzerdefinierte Skripte, um die seitliche Bewegung und den Datendiebstahl zu unterstützen.

Untersuchung

Mandiant und die Google Threat Intelligence Group deckten die Kampagne durch die Analyse offengelegter Angreifer-Staging-Verzeichnisse auf. Ihre Untersuchung enthüllte, dass Python SimpleHTTP-Server bösartige MeshCentral-Agenten sowie Kommandohistorie-Artefakte hosten. Die Forscher verfolgten die Eindringkette von der Ausnutzung von CVE-2026-35273 bis hin zur späteren Datenexposition auf der ShinyHunters Data Leak Site.

Abmilderung

Organisationen sollten den Environment Management Hub (EMHub) Dienst sofort deaktivieren oder die PSEMHUB-Anwendung vollständig entfernen. Perimeterverteidigungen sollten externen Zugriff auf /PSEMHUB/* and /PSIGW/HttpListeningConnector Endpoints blockieren. Zusätzliche Härtungsmaßnahmen sollten Audits der Datei-Systeme der Webschicht auf unerlaubte .jsp Dateien beinhalten, das Beobachten verdächtiger neuer Verzeichnisse und das Überwachen eines unerwarteten ausgehenden SMB-Verkehrs.

Reaktion

Sollte ein Kompromittierung vermutet werden, sollten Organisationen den Zugriff auf anfällige PeopleSoft-Endpoints einschränken und WebLogic-Zugriffsprotokolle auf verdächtige POST-Aktivitäten überprüfen. Forensik-Teams sollten PSEMHUB-Verzeichnisse nach unerlaubten Dateien durchsuchen und auf XMLDecoder-basierte Persistenz untersuchen. Das ausgehende Monitoring auf Port 445 sollte ebenfalls aktiviert werden, um potenzielle NTLM-Hash-Erfassungsversuche zu identifizieren.

Angriffsfluss

Simulation Ausführung

Voraussetzung: Die Telemetrie- und Basislinien-Überprüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und Narrative müssen direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffs-Narrativ und Befehle: Der Angreifer beabsichtigt, die Schwachstelle von Oracle PeopleSoft auszunutzen, um sich unbefugten Zugang zu verschaffen oder Privilegien zu erhöhen. Zuerst führen sie eine Aufklärung durch, indem sie POST-Anfragen an PSEMHUB/hub senden, um die Serviceverfügbarkeit zu identifizieren. Zweitens versuchen sie, eine Web-Shell zu platzieren, indem sie eine bösartige .jsp Datei in das PSEMHUB.war Anwendungsverzeichnis schreiben und zielen speziell auf den envmetadata/transactions/ Pfad, um ihre Aktivität in legitimen aussehenden Anwendungsmetadatenstrukturen zu verstecken.

  • Regressionstest-Script:

    #!/bin/bash
    # Simulationsscript für Oracle PeopleSoft PSEMHUB-Ausnutzung
    
    echo "[+] Simulation startet..."
    
    # 1. Trigger selection_webservice_requests (HTTP POST)
    echo "[+] Schritt 1: Senden von bösartigen POST-Anfragen..."
    curl -X POST "http://localhost/PSEMHUB/hub" -d "cmd=exploit"
    curl -X POST "http://localhost/PSIGW/HttpListeningConnector" -d "cmd=exploit"
    
    # 2. Trigger selection_fs_operations (Dateierstellung)
    echo "[+] Schritt 2: Erstellen von bösartigen .jsp-Dateien in Zielverzeichnissen..."
    
    # Sicherstellen, dass das Verzeichnis für die Simulation existiert (in einem echten Test ist dies das Ziel)
    mkdir -p /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/
    
    # Erstellen der bösartigen JSP-Datei
    echo "<% out.println("Exploited"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp
    
    # Erstellen einer weiteren .jsp-Datei unter dem War-Verzeichnis zum Testen des Platzhaltermatchings
    echo "<% out.println("Malicious"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp
    
    echo "[+] Simulation abgeschlossen. Überprüfen Sie das SIEM auf Warnungen."
  • Aufräumbefehle:

    #!/bin/bash
    # Aufräumskript
    
    echo "[+] Aufräumarbeiten der Simulationsartefakte..."
    rm -f /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp
    rm -f /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp
    # Hinweis: In der Produktion keine Verzeichnisse löschen, nur die für den Test erstellten Dateien.
    echo "[+] Aufräumen beendet."