ShinyHunters Apunta al Sector Educativo con Exploit de Oracle PeopleSoft
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
El actor de amenaza UNC6240, también conocido como ShinyHunters, está llevando a cabo una campaña activa de compromiso y extorsión contra entornos de Oracle PeopleSoft. Los atacantes abusan de una vulnerabilidad de ejecución remota de código de día cero en el componente de Gestión de Entornos para obtener acceso inicial. Luego dependen de MeshCentral para comando y control y utilizan scripts personalizados para soportar el movimiento lateral y el robo de datos.
Investigación
Mandiant y Google Threat Intelligence Group descubrieron la campaña a través del análisis de directorios de staging de atacantes expuestos. Su investigación reveló servidores Python SimpleHTTP alojando agentes maliciosos de MeshCentral junto con artefactos de historial de comandos. Los investigadores siguieron la cadena de intrusión desde la explotación de CVE-2026-35273 hasta la posterior exposición de datos en el sitio de fuga de datos de ShinyHunters.
Mitigación
Las organizaciones deben deshabilitar inmediatamente el servicio de Environment Management Hub (EMHub) o eliminar por completo la aplicación PSEMHUB. Las defensas perimetrales deben bloquear el acceso externo a /PSEMHUB/* and /PSIGW/HttpListeningConnector endpoints. El endurecimiento adicional debe incluir la auditoría de sistemas de archivos de nivel web en busca de .jsp archivos no autorizados, la vigilancia en busca de nuevos directorios sospechosos y el monitoreo de tráfico SMB saliente inesperado.
Respuesta
Si se sospecha de compromiso, las organizaciones deben restringir el acceso a los endpoints vulnerables de PeopleSoft y revisar los registros de acceso de WebLogic en busca de actividad POST sospechosa. Los equipos forenses deben buscar archivos no autorizados en directorios de PSEMHUB e inspeccionar la persistencia basada en XMLDecoder. El monitoreo saliente en el puerto 445 también debe habilitarse para identificar posibles intentos de captura de hash NTLM.
Flujo de Ataque
Detecciones
Posible Intento de Instalación de Software RMM de Mesh Agent (via registry_event)
Ver
Posible Intento de Uso de Herramienta MeshAgent (via process_creation)
Ver
Se Creó un Script Linux en Carpetas Temporales (via file_event)
Ver
IOCs (HashSha256) para detectar: ShinyHunters Apunta al Sector Educativo con Explotación de Oracle PeopleSoft
Ver
IOCs (SourceIP) para detectar: ShinyHunters Apunta al Sector Educativo con Explotación de Oracle PeopleSoft
Ver
IOCs (DestinationIP) para detectar: ShinyHunters Apunta al Sector Educativo con Explotación de Oracle PeopleSoft
Ver
Detección del Script de Propagación ShinyHunters y el Marcador de Desfiguración [Evento de Archivo Linux]
Ver
Detectar Explotación de Oracle PeopleSoft PSEMHUB por ShinyHunters [Servidor Web]
Ver
Ejecución de Simulación
Requisito Previo: La Verificación Previa de Telemetría y Línea de Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.
-
Narrativa & Comandos de Ataque: El adversario apunta a explotar la vulnerabilidad de Oracle PeopleSoft para obtener acceso no autorizado o escalar privilegios. Primero, realizan un reconocimiento enviando solicitudes POST a
PSEMHUB/hubpara identificar la disponibilidad del servicio. Segundo, intentan poner en escena una shell web escribiendo un.jsparchivo malicioso en eldirectorio de aplicación PSEMHUB.war, específicamente apuntando a laapplication directory, specifically targeting theruta envmetadata/transactions/ para ocultar su actividad dentro de estructuras de metadatos de aplicación que parecen legítimas.path to hide their activity within legitimate-looking application metadata structures. -
Script de Prueba de Regresión:
#!/bin/bash # Script de Simulación para Explotación de Oracle PeopleSoft PSEMHUB echo "[+] Iniciando Simulación..." # 1. Disparar selection_webservice_requests (HTTP POST) echo "[+] Paso 1: Enviando solicitudes POST maliciosas..." curl -X POST "http://localhost/PSEMHUB/hub" -d "cmd=exploit" curl -X POST "http://localhost/PSIGW/HttpListeningConnector" -d "cmd=exploit" # 2. Disparar selection_fs_operations (Creación de Archivo) echo "[+] Paso 2: Creando archivos .jsp maliciosos en directorios objetivo..." # Asegúrate de que el directorio exista para simular (en una prueba real, este es el objetivo) mkdir -p /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/ # Crear el archivo JSP malicioso echo "<% out.println("Exploited"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp # Crear otro archivo .jsp bajo el directorio war para probar la coincidencia de comodines echo "<% out.println("Malicious"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp echo "[+] Simulación Completa. Revisa SIEM para alertas." -
Comandos de Limpieza:
#!/bin/bash # Script de Limpieza echo "[+] Limpiando artefactos de simulación..." rm -f /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp rm -f /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp # Nota: En producción, no elimines directorios, solo los archivos creados para pruebas. echo "[+] Limpieza terminada."