ShinyHunters Apunta al Sector Educativo con Exploit de Oracle PeopleSoft
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
El actor de amenaza UNC6240, también conocido como ShinyHunters, está llevando a cabo una campaña activa de compromiso y extorsión contra entornos de Oracle PeopleSoft. Los atacantes abusan de una vulnerabilidad de ejecución remota de código de día cero en el componente de Gestión de Entornos para obtener acceso inicial. Luego dependen de MeshCentral para comando y control y utilizan scripts personalizados para soportar el movimiento lateral y el robo de datos.
Investigación
Mandiant y Google Threat Intelligence Group descubrieron la campaña a través del análisis de directorios de staging de atacantes expuestos. Su investigación reveló servidores Python SimpleHTTP alojando agentes maliciosos de MeshCentral junto con artefactos de historial de comandos. Los investigadores siguieron la cadena de intrusión desde la explotación de CVE-2026-35273 hasta la posterior exposición de datos en el sitio de fuga de datos de ShinyHunters.
Mitigación
Las organizaciones deben deshabilitar inmediatamente el servicio de Environment Management Hub (EMHub) o eliminar por completo la aplicación PSEMHUB. Las defensas perimetrales deben bloquear el acceso externo a /PSEMHUB/* and /PSIGW/HttpListeningConnector endpoints. El endurecimiento adicional debe incluir la auditoría de sistemas de archivos de nivel web en busca de .jsp archivos no autorizados, la vigilancia en busca de nuevos directorios sospechosos y el monitoreo de tráfico SMB saliente inesperado.
Respuesta
Si se sospecha de compromiso, las organizaciones deben restringir el acceso a los endpoints vulnerables de PeopleSoft y revisar los registros de acceso de WebLogic en busca de actividad POST sospechosa. Los equipos forenses deben buscar archivos no autorizados en directorios de PSEMHUB e inspeccionar la persistencia basada en XMLDecoder. El monitoreo saliente en el puerto 445 también debe habilitarse para identificar posibles intentos de captura de hash NTLM.
graph TB %% Definiciones de clases classDef action fill:#99ccff classDef tool fill:#cccccc classDef vulnerability fill:#ff9999 classDef file fill:#ccffcc %% Fase de acceso inicial vuln_psemhub[«<b>Vulnerabilidad</b><br/>CVE-2026-35273<br/>Explotación del componente<br/>Oracle PeopleSoft Environment Management (PSEMHUB)»] class vuln_psemhub vulnerability action_initial_access[«<b>Acción</b> – T1210: Explotación de Servicios Remotos<br/><b>Descripción</b>: Explotación de una vulnerabilidad RCE zero-day<br/>en PSEMHUB para obtener acceso inicial.»] class action_initial_access action %% Fase de Comando y Control tool_meshcentral[«<b>Herramienta</b> – MeshCentral<br/><b>Descripción</b>: Servidor de administración remota utilizado<br/>para la preparación del C2.<br/><b>Tipo</b>: Herramienta de acceso remoto»] class tool_meshcentral tool tool_acme_client[«<b>Herramienta</b> – acme-client (paquete npm)<br/><b>Descripción</b>: Automatiza la emisión de certificados SSL<br/>para el dominio de suplantación azurenetfiles.net.»] class tool_acme_client tool file_meshagent[«<b>Archivo</b> – meshagent64-azure-ops.exe<br/><b>Descripción</b>: Agente personalizado de MeshCentral para Windows<br/>utilizado para facilitar la administración remota.»] class file_meshagent file %% Fase de reconocimiento action_recon[«<b>Acción</b> – T1082: Descubrimiento de Información del Sistema<br/><b>Descripción</b>: Mapeo de configuraciones Oracle PeopleSoft<br/>y auditoría de montajes de red.»] class action_recon action tool_meshctrl[«<b>Herramienta</b> – meshctrl.js<br/><b>Descripción</b>: Utilidad de línea de comandos de MeshCentral<br/>utilizada para tareas de descubrimiento.»] class tool_meshctrl tool file_config_files[«<b>Archivos objetivo</b><br/>psappsrv.cfg y WebLogic config.xml<br/>utilizados para mapear configuraciones.»] class file_config_files file %% Fase de movimiento lateral action_lateral[«<b>Acción</b> – T1110.003: Fuerza Bruta: Password Spraying<br/><b>Descripción</b>: Ejecución de ataques de pulverización<br/>de credenciales SSH contra hosts internos.»] class action_lateral action script_fanout[«<b>Archivo/S script</b> – [victim_abbreviation]_fanout.sh<br/><b>Descripción</b>: Script Bash personalizado para pulverización<br/>de credenciales y propagación de archivos de extorsión.»] class script_fanout file file_extort[«<b>Archivo</b> – README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT<br/><b>Descripción</b>: Archivo marcador de desfiguración y extorsión.»] class file_extort file %% Fase de exfiltración action_exfil[«<b>Acción</b> – T1560: Archivado de Datos Recopilados<br/><b>Descripción</b>: Compresión de datos robados<br/>antes de la exfiltración.»] class action_exfil action tool_zstd[«<b>Herramienta</b> – zstd<br/><b>Descripción</b>: Utilidad utilizada para comprimir<br/>directorios preparados para exfiltración.»] class tool_zstd tool %% Conexiones vuln_psemhub –>|explotado_mediante| action_initial_access action_initial_access –>|establece_C2| tool_meshcentral tool_meshcentral –>|utiliza| tool_acme_client tool_meshcentral –>|despliega| file_meshagent tool_meshcentral –>|facilita| action_recon action_recon –>|utiliza| tool_meshctrl action_recon –>|inspecciona| file_config_files action_recon –>|conduce_a| action_lateral action_lateral –>|ejecuta| script_fanout script_fanout –>|propaga| file_extort script_fanout –>|conduce_a| action_exfil action_exfil –>|utiliza| tool_zstd
Flujo de Ataque
Detecciones
Posible Intento de Instalación de Software RMM de Mesh Agent (via registry_event)
Ver
Posible Intento de Uso de Herramienta MeshAgent (via process_creation)
Ver
Se Creó un Script Linux en Carpetas Temporales (via file_event)
Ver
IOCs (HashSha256) para detectar: ShinyHunters Apunta al Sector Educativo con Explotación de Oracle PeopleSoft
Ver
IOCs (SourceIP) para detectar: ShinyHunters Apunta al Sector Educativo con Explotación de Oracle PeopleSoft
Ver
IOCs (DestinationIP) para detectar: ShinyHunters Apunta al Sector Educativo con Explotación de Oracle PeopleSoft
Ver
Detección del Script de Propagación ShinyHunters y el Marcador de Desfiguración [Evento de Archivo Linux]
Ver
Detectar Explotación de Oracle PeopleSoft PSEMHUB por ShinyHunters [Servidor Web]
Ver
Ejecución de Simulación
Requisito Previo: La Verificación Previa de Telemetría y Línea de Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.
-
Narrativa & Comandos de Ataque: El adversario apunta a explotar la vulnerabilidad de Oracle PeopleSoft para obtener acceso no autorizado o escalar privilegios. Primero, realizan un reconocimiento enviando solicitudes POST a
PSEMHUB/hubpara identificar la disponibilidad del servicio. Segundo, intentan poner en escena una shell web escribiendo un.jsparchivo malicioso en eldirectorio de aplicación PSEMHUB.war, específicamente apuntando a laapplication directory, specifically targeting theruta envmetadata/transactions/ para ocultar su actividad dentro de estructuras de metadatos de aplicación que parecen legítimas.path to hide their activity within legitimate-looking application metadata structures. -
Script de Prueba de Regresión:
#!/bin/bash # Script de Simulación para Explotación de Oracle PeopleSoft PSEMHUB echo "[+] Iniciando Simulación..." # 1. Disparar selection_webservice_requests (HTTP POST) echo "[+] Paso 1: Enviando solicitudes POST maliciosas..." curl -X POST "http://localhost/PSEMHUB/hub" -d "cmd=exploit" curl -X POST "http://localhost/PSIGW/HttpListeningConnector" -d "cmd=exploit" # 2. Disparar selection_fs_operations (Creación de Archivo) echo "[+] Paso 2: Creando archivos .jsp maliciosos en directorios objetivo..." # Asegúrate de que el directorio exista para simular (en una prueba real, este es el objetivo) mkdir -p /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/ # Crear el archivo JSP malicioso echo "<% out.println("Exploited"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp # Crear otro archivo .jsp bajo el directorio war para probar la coincidencia de comodines echo "<% out.println("Malicious"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp echo "[+] Simulación Completa. Revisa SIEM para alertas." -
Comandos de Limpieza:
#!/bin/bash # Script de Limpieza echo "[+] Limpiando artefactos de simulación..." rm -f /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp rm -f /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp # Nota: En producción, no elimines directorios, solo los archivos creados para pruebas. echo "[+] Limpieza terminada."