Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Bedrohungsakteur UNC6240, auch bekannt als ShinyHunters, führt eine aktive Kompromittierungs- und Erpressungskampagne gegen Oracle PeopleSoft-Umgebungen durch. Die Angreifer nutzen eine Zero-Day-Remote-Code-Execution-Schwachstelle in der Komponente Environment Management aus, um anfänglichen Zugriff zu erlangen. Anschließend setzen sie MeshCentral zur Befehls- und Kontrollübermittlung ein und nutzen benutzerdefinierte Skripte, um die seitliche Bewegung und den Datendiebstahl zu unterstützen.
Untersuchung
Mandiant und die Google Threat Intelligence Group deckten die Kampagne durch die Analyse offengelegter Angreifer-Staging-Verzeichnisse auf. Ihre Untersuchung enthüllte, dass Python SimpleHTTP-Server bösartige MeshCentral-Agenten sowie Kommandohistorie-Artefakte hosten. Die Forscher verfolgten die Eindringkette von der Ausnutzung von CVE-2026-35273 bis hin zur späteren Datenexposition auf der ShinyHunters Data Leak Site.
Abmilderung
Organisationen sollten den Environment Management Hub (EMHub) Dienst sofort deaktivieren oder die PSEMHUB-Anwendung vollständig entfernen. Perimeterverteidigungen sollten externen Zugriff auf /PSEMHUB/* and /PSIGW/HttpListeningConnector Endpoints blockieren. Zusätzliche Härtungsmaßnahmen sollten Audits der Datei-Systeme der Webschicht auf unerlaubte .jsp Dateien beinhalten, das Beobachten verdächtiger neuer Verzeichnisse und das Überwachen eines unerwarteten ausgehenden SMB-Verkehrs.
Reaktion
Sollte ein Kompromittierung vermutet werden, sollten Organisationen den Zugriff auf anfällige PeopleSoft-Endpoints einschränken und WebLogic-Zugriffsprotokolle auf verdächtige POST-Aktivitäten überprüfen. Forensik-Teams sollten PSEMHUB-Verzeichnisse nach unerlaubten Dateien durchsuchen und auf XMLDecoder-basierte Persistenz untersuchen. Das ausgehende Monitoring auf Port 445 sollte ebenfalls aktiviert werden, um potenzielle NTLM-Hash-Erfassungsversuche zu identifizieren.
graph TB %% Klassendefinitionen classDef action fill:#99ccff classDef tool fill:#cccccc classDef vulnerability fill:#ff9999 classDef file fill:#ccffcc %% Phase: Initialer Zugriff vuln_psemhub[„<b>Schwachstelle</b><br/>CVE-2026-35273<br/>Ausnutzung der Oracle PeopleSoft<br/>Environment Management Komponente (PSEMHUB)“] class vuln_psemhub vulnerability action_initial_access[„<b>Aktion</b> – T1210: Ausnutzung von Remote-Diensten<br/><b>Beschreibung</b>: Ausnutzung einer Zero-Day-RCE-Schwachstelle<br/>in PSEMHUB zur Erlangung des Erstzugriffs.“] class action_initial_access action %% Phase: Command and Control tool_meshcentral[„<b>Werkzeug</b> – MeshCentral<br/><b>Beschreibung</b>: Remote-Management-Server zur<br/>Vorbereitung der C2-Infrastruktur.<br/><b>Typ</b>: Remote-Access-Tool“] class tool_meshcentral tool tool_acme_client[„<b>Werkzeug</b> – acme-client (npm-Paket)<br/><b>Beschreibung</b>: Automatisiert die Bereitstellung von SSL-Zertifikaten<br/>für die Tarn-Domain azurenetfiles.net.“] class tool_acme_client tool file_meshagent[„<b>Datei</b> – meshagent64-azure-ops.exe<br/><b>Beschreibung</b>: Angepasster Windows-MeshCentral-Agent<br/>zur Unterstützung der Remote-Verwaltung.“] class file_meshagent file %% Phase: Aufklärung action_recon[„<b>Aktion</b> – T1082: Systeminformationssuche<br/><b>Beschreibung</b>: Analyse der Oracle PeopleSoft-Konfigurationen<br/>und Überprüfung von Netzwerk-Mounts.“] class action_recon action tool_meshctrl[„<b>Werkzeug</b> – meshctrl.js<br/><b>Beschreibung</b>: Kommandozeilenprogramm von MeshCentral<br/>für Discovery-Aktivitäten.“] class tool_meshctrl tool file_config_files[„<b>Ziel-Dateien</b><br/>psappsrv.cfg und WebLogic config.xml<br/>zur Erfassung von Konfigurationsinformationen.“] class file_config_files file %% Phase: Laterale Bewegung action_lateral[„<b>Aktion</b> – T1110.003: Brute Force: Password Spraying<br/><b>Beschreibung</b>: Durchführung von SSH-Anmeldesprühen<br/>gegen interne Systeme.“] class action_lateral action script_fanout[„<b>Datei/Skript</b> – [victim_abbreviation]_fanout.sh<br/><b>Beschreibung</b>: Benutzerdefiniertes Bash-Skript für<br/>Credential-Spraying und Verbreitung von Erpressungsdateien.“] class script_fanout file file_extort[„<b>Datei</b> – README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT<br/><b>Beschreibung</b>: Markerdatei für Verunstaltung<br/>und Erpressung.“] class file_extort file %% Phase: Exfiltration action_exfil[„<b>Aktion</b> – T1560: Archivierung gesammelter Daten<br/><b>Beschreibung</b>: Komprimierung gestohlener Daten<br/>vor der Exfiltration.“] class action_exfil action tool_zstd[„<b>Werkzeug</b> – zstd<br/><b>Beschreibung</b>: Dienstprogramm zur Komprimierung<br/>von für die Exfiltration vorbereiteten Verzeichnissen.“] class tool_zstd tool %% Verbindungen vuln_psemhub –>|ausgenutzt_durch| action_initial_access action_initial_access –>|etabliert_C2| tool_meshcentral tool_meshcentral –>|verwendet| tool_acme_client tool_meshcentral –>|installiert| file_meshagent tool_meshcentral –>|ermöglicht| action_recon action_recon –>|verwendet| tool_meshctrl action_recon –>|prüft| file_config_files action_recon –>|führt_zu| action_lateral action_lateral –>|führt_aus| script_fanout script_fanout –>|verbreitet| file_extort script_fanout –>|führt_zu| action_exfil action_exfil –>|verwendet| tool_zstd
Angriffsfluss
Erkennungen
Möglicher Installationsversuch der Mesh Agent RMM-Software (über registry_event)
Ansicht
Möglicher Versuch der Verwendung des MeshAgent-Dienstprogramms (über process_creation)
Ansicht
Linux-Skript wurde in temporären Ordnern erstellt (über file_event)
Ansicht
IOCs (HashSha256) zur Erkennung: ShinyHunters zielt auf den Bildungssektor mit Oracle PeopleSoft-Exploit
Ansicht
IOCs (SourceIP) zur Erkennung: ShinyHunters zielt auf den Bildungssektor mit Oracle PeopleSoft-Exploit
Ansicht
IOCs (DestinationIP) zur Erkennung: ShinyHunters zielt auf den Bildungssektor mit Oracle PeopleSoft-Exploit
Ansicht
Erkennung des ShinyHunters-Verbreitungsskriptes und der Defacement-Marker [Linux Dateievent]
Ansicht
Erkennung der Oracle PeopleSoft PSEMHUB Ausnutzung durch ShinyHunters [Webserver]
Ansicht
Simulation Ausführung
Voraussetzung: Die Telemetrie- und Basislinien-Überprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und Narrative müssen direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffs-Narrativ und Befehle: Der Angreifer beabsichtigt, die Schwachstelle von Oracle PeopleSoft auszunutzen, um sich unbefugten Zugang zu verschaffen oder Privilegien zu erhöhen. Zuerst führen sie eine Aufklärung durch, indem sie POST-Anfragen an
PSEMHUB/hubsenden, um die Serviceverfügbarkeit zu identifizieren. Zweitens versuchen sie, eine Web-Shell zu platzieren, indem sie eine bösartige.jspDatei in dasPSEMHUB.warAnwendungsverzeichnis schreiben und zielen speziell auf denenvmetadata/transactions/Pfad, um ihre Aktivität in legitimen aussehenden Anwendungsmetadatenstrukturen zu verstecken. -
Regressionstest-Script:
#!/bin/bash # Simulationsscript für Oracle PeopleSoft PSEMHUB-Ausnutzung echo "[+] Simulation startet..." # 1. Trigger selection_webservice_requests (HTTP POST) echo "[+] Schritt 1: Senden von bösartigen POST-Anfragen..." curl -X POST "http://localhost/PSEMHUB/hub" -d "cmd=exploit" curl -X POST "http://localhost/PSIGW/HttpListeningConnector" -d "cmd=exploit" # 2. Trigger selection_fs_operations (Dateierstellung) echo "[+] Schritt 2: Erstellen von bösartigen .jsp-Dateien in Zielverzeichnissen..." # Sicherstellen, dass das Verzeichnis für die Simulation existiert (in einem echten Test ist dies das Ziel) mkdir -p /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/ # Erstellen der bösartigen JSP-Datei echo "<% out.println("Exploited"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp # Erstellen einer weiteren .jsp-Datei unter dem War-Verzeichnis zum Testen des Platzhaltermatchings echo "<% out.println("Malicious"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp echo "[+] Simulation abgeschlossen. Überprüfen Sie das SIEM auf Warnungen." -
Aufräumbefehle:
#!/bin/bash # Aufräumskript echo "[+] Aufräumarbeiten der Simulationsartefakte..." rm -f /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp rm -f /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp # Hinweis: In der Produktion keine Verzeichnisse löschen, nur die für den Test erstellten Dateien. echo "[+] Aufräumen beendet."