ShinyHunters zielt Bildungssektor mit Oracle PeopleSoft Exploit ab
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Bedrohungsakteur UNC6240, auch bekannt als ShinyHunters, führt eine aktive Kompromittierungs- und Erpressungskampagne gegen Oracle PeopleSoft-Umgebungen durch. Die Angreifer nutzen eine Zero-Day-Remote-Code-Execution-Schwachstelle in der Komponente Environment Management aus, um anfänglichen Zugriff zu erlangen. Anschließend setzen sie MeshCentral zur Befehls- und Kontrollübermittlung ein und nutzen benutzerdefinierte Skripte, um die seitliche Bewegung und den Datendiebstahl zu unterstützen.
Untersuchung
Mandiant und die Google Threat Intelligence Group deckten die Kampagne durch die Analyse offengelegter Angreifer-Staging-Verzeichnisse auf. Ihre Untersuchung enthüllte, dass Python SimpleHTTP-Server bösartige MeshCentral-Agenten sowie Kommandohistorie-Artefakte hosten. Die Forscher verfolgten die Eindringkette von der Ausnutzung von CVE-2026-35273 bis hin zur späteren Datenexposition auf der ShinyHunters Data Leak Site.
Abmilderung
Organisationen sollten den Environment Management Hub (EMHub) Dienst sofort deaktivieren oder die PSEMHUB-Anwendung vollständig entfernen. Perimeterverteidigungen sollten externen Zugriff auf /PSEMHUB/* and /PSIGW/HttpListeningConnector Endpoints blockieren. Zusätzliche Härtungsmaßnahmen sollten Audits der Datei-Systeme der Webschicht auf unerlaubte .jsp Dateien beinhalten, das Beobachten verdächtiger neuer Verzeichnisse und das Überwachen eines unerwarteten ausgehenden SMB-Verkehrs.
Reaktion
Sollte ein Kompromittierung vermutet werden, sollten Organisationen den Zugriff auf anfällige PeopleSoft-Endpoints einschränken und WebLogic-Zugriffsprotokolle auf verdächtige POST-Aktivitäten überprüfen. Forensik-Teams sollten PSEMHUB-Verzeichnisse nach unerlaubten Dateien durchsuchen und auf XMLDecoder-basierte Persistenz untersuchen. Das ausgehende Monitoring auf Port 445 sollte ebenfalls aktiviert werden, um potenzielle NTLM-Hash-Erfassungsversuche zu identifizieren.
Angriffsfluss
Erkennungen
Möglicher Installationsversuch der Mesh Agent RMM-Software (über registry_event)
Ansicht
Möglicher Versuch der Verwendung des MeshAgent-Dienstprogramms (über process_creation)
Ansicht
Linux-Skript wurde in temporären Ordnern erstellt (über file_event)
Ansicht
IOCs (HashSha256) zur Erkennung: ShinyHunters zielt auf den Bildungssektor mit Oracle PeopleSoft-Exploit
Ansicht
IOCs (SourceIP) zur Erkennung: ShinyHunters zielt auf den Bildungssektor mit Oracle PeopleSoft-Exploit
Ansicht
IOCs (DestinationIP) zur Erkennung: ShinyHunters zielt auf den Bildungssektor mit Oracle PeopleSoft-Exploit
Ansicht
Erkennung des ShinyHunters-Verbreitungsskriptes und der Defacement-Marker [Linux Dateievent]
Ansicht
Erkennung der Oracle PeopleSoft PSEMHUB Ausnutzung durch ShinyHunters [Webserver]
Ansicht
Simulation Ausführung
Voraussetzung: Die Telemetrie- und Basislinien-Überprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und Narrative müssen direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffs-Narrativ und Befehle: Der Angreifer beabsichtigt, die Schwachstelle von Oracle PeopleSoft auszunutzen, um sich unbefugten Zugang zu verschaffen oder Privilegien zu erhöhen. Zuerst führen sie eine Aufklärung durch, indem sie POST-Anfragen an
PSEMHUB/hubsenden, um die Serviceverfügbarkeit zu identifizieren. Zweitens versuchen sie, eine Web-Shell zu platzieren, indem sie eine bösartige.jspDatei in dasPSEMHUB.warAnwendungsverzeichnis schreiben und zielen speziell auf denenvmetadata/transactions/Pfad, um ihre Aktivität in legitimen aussehenden Anwendungsmetadatenstrukturen zu verstecken. -
Regressionstest-Script:
#!/bin/bash # Simulationsscript für Oracle PeopleSoft PSEMHUB-Ausnutzung echo "[+] Simulation startet..." # 1. Trigger selection_webservice_requests (HTTP POST) echo "[+] Schritt 1: Senden von bösartigen POST-Anfragen..." curl -X POST "http://localhost/PSEMHUB/hub" -d "cmd=exploit" curl -X POST "http://localhost/PSIGW/HttpListeningConnector" -d "cmd=exploit" # 2. Trigger selection_fs_operations (Dateierstellung) echo "[+] Schritt 2: Erstellen von bösartigen .jsp-Dateien in Zielverzeichnissen..." # Sicherstellen, dass das Verzeichnis für die Simulation existiert (in einem echten Test ist dies das Ziel) mkdir -p /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/ # Erstellen der bösartigen JSP-Datei echo "<% out.println("Exploited"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp # Erstellen einer weiteren .jsp-Datei unter dem War-Verzeichnis zum Testen des Platzhaltermatchings echo "<% out.println("Malicious"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp echo "[+] Simulation abgeschlossen. Überprüfen Sie das SIEM auf Warnungen." -
Aufräumbefehle:
#!/bin/bash # Aufräumskript echo "[+] Aufräumarbeiten der Simulationsartefakte..." rm -f /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp rm -f /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp # Hinweis: In der Produktion keine Verzeichnisse löschen, nur die für den Test erstellten Dateien. echo "[+] Aufräumen beendet."