SOC Prime Bias: Crítico

16 Jun 2026 13:03 UTC

ShinyHunters Apunta al Sector Educativo con Exploit de Oracle PeopleSoft

Author Photo
SOC Prime Team linkedin icon Seguir
ShinyHunters Apunta al Sector Educativo con Exploit de Oracle PeopleSoft
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

El actor de amenaza UNC6240, también conocido como ShinyHunters, está llevando a cabo una campaña activa de compromiso y extorsión contra entornos de Oracle PeopleSoft. Los atacantes abusan de una vulnerabilidad de ejecución remota de código de día cero en el componente de Gestión de Entornos para obtener acceso inicial. Luego dependen de MeshCentral para comando y control y utilizan scripts personalizados para soportar el movimiento lateral y el robo de datos.

Investigación

Mandiant y Google Threat Intelligence Group descubrieron la campaña a través del análisis de directorios de staging de atacantes expuestos. Su investigación reveló servidores Python SimpleHTTP alojando agentes maliciosos de MeshCentral junto con artefactos de historial de comandos. Los investigadores siguieron la cadena de intrusión desde la explotación de CVE-2026-35273 hasta la posterior exposición de datos en el sitio de fuga de datos de ShinyHunters.

Mitigación

Las organizaciones deben deshabilitar inmediatamente el servicio de Environment Management Hub (EMHub) o eliminar por completo la aplicación PSEMHUB. Las defensas perimetrales deben bloquear el acceso externo a /PSEMHUB/* and /PSIGW/HttpListeningConnector endpoints. El endurecimiento adicional debe incluir la auditoría de sistemas de archivos de nivel web en busca de .jsp archivos no autorizados, la vigilancia en busca de nuevos directorios sospechosos y el monitoreo de tráfico SMB saliente inesperado.

Respuesta

Si se sospecha de compromiso, las organizaciones deben restringir el acceso a los endpoints vulnerables de PeopleSoft y revisar los registros de acceso de WebLogic en busca de actividad POST sospechosa. Los equipos forenses deben buscar archivos no autorizados en directorios de PSEMHUB e inspeccionar la persistencia basada en XMLDecoder. El monitoreo saliente en el puerto 445 también debe habilitarse para identificar posibles intentos de captura de hash NTLM.

Flujo de Ataque

Ejecución de Simulación

Requisito Previo: La Verificación Previa de Telemetría y Línea de Base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.

  • Narrativa & Comandos de Ataque: El adversario apunta a explotar la vulnerabilidad de Oracle PeopleSoft para obtener acceso no autorizado o escalar privilegios. Primero, realizan un reconocimiento enviando solicitudes POST a PSEMHUB/hub para identificar la disponibilidad del servicio. Segundo, intentan poner en escena una shell web escribiendo un .jsp archivo malicioso en el directorio de aplicación PSEMHUB.war, específicamente apuntando a la application directory, specifically targeting the ruta envmetadata/transactions/ para ocultar su actividad dentro de estructuras de metadatos de aplicación que parecen legítimas. path to hide their activity within legitimate-looking application metadata structures.

  • Script de Prueba de Regresión:

    #!/bin/bash
    # Script de Simulación para Explotación de Oracle PeopleSoft PSEMHUB
    
    echo "[+] Iniciando Simulación..."
    
    # 1. Disparar selection_webservice_requests (HTTP POST)
    echo "[+] Paso 1: Enviando solicitudes POST maliciosas..."
    curl -X POST "http://localhost/PSEMHUB/hub" -d "cmd=exploit"
    curl -X POST "http://localhost/PSIGW/HttpListeningConnector" -d "cmd=exploit"
    
    # 2. Disparar selection_fs_operations (Creación de Archivo)
    echo "[+] Paso 2: Creando archivos .jsp maliciosos en directorios objetivo..."
    
    # Asegúrate de que el directorio exista para simular (en una prueba real, este es el objetivo)
    mkdir -p /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/
    
    # Crear el archivo JSP malicioso
    echo "<% out.println("Exploited"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp
    
    # Crear otro archivo .jsp bajo el directorio war para probar la coincidencia de comodines
    echo "<% out.println("Malicious"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp
    
    echo "[+] Simulación Completa. Revisa SIEM para alertas."
  • Comandos de Limpieza:

    #!/bin/bash
    # Script de Limpieza
    
    echo "[+] Limpiando artefactos de simulación..."
    rm -f /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp
    rm -f /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp
    # Nota: En producción, no elimines directorios, solo los archivos creados para pruebas.
    echo "[+] Limpieza terminada."