SOC Prime Bias: Critique

16 Jun 2026 13:03 UTC

ShinyHunters cible le secteur de l’éducation avec un exploit Oracle PeopleSoft

Author Photo
SOC Prime Team linkedin icon Suivre
ShinyHunters cible le secteur de l’éducation avec un exploit Oracle PeopleSoft
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

L’acteur de la menace UNC6240, également connu sous le nom de ShinyHunters, mène une campagne active de compromission et d’extorsion contre les environnements Oracle PeopleSoft. Les attaquants exploitent une faille d’exécution de code à distance zero-day dans le composant de gestion de l’environnement pour obtenir un accès initial. Ils s’appuient ensuite sur MeshCentral pour le commandement et le contrôle et utilisent des scripts personnalisés pour soutenir le mouvement latéral et le vol de données.

Enquête

Mandiant et le Groupe Google Threat Intelligence ont découvert la campagne à travers l’analyse des répertoires de mise en scène exposés par les attaquants. Leur enquête a révélé des serveurs Python SimpleHTTP hébergeant des agents malveillants MeshCentral ainsi que des artefacts d’historique de commandes. Les chercheurs ont suivi la chaîne d’intrusion de l’exploitation de CVE-2026-35273 jusqu’à l’exposition ultérieure de données sur le site de fuite de données ShinyHunters.

Atténuation

Les organisations devraient immédiatement désactiver le service Environment Management Hub (EMHub) ou supprimer entièrement l’application PSEMHUB. Les défenses périmétriques devraient bloquer l’accès externe à /PSEMHUB/* and /PSIGW/HttpListeningConnector points de terminaison. Un renforcement supplémentaire devrait inclure l’audit des systèmes de fichiers du niveau Web pour rechercher des .jsp fichiers non autorisés, surveiller les nouveaux répertoires suspects et contrôler le trafic SMB sortant inattendu.

Réponse

Si une compromission est suspectée, les organisations devraient restreindre l’accès aux points de terminaison vulnérables PeopleSoft et vérifier les journaux d’accès WebLogic pour des activités POST suspectes. Les équipes de médecine légale devraient rechercher dans les répertoires PSEMHUB des fichiers non autorisés et inspecter pour une persistance basée sur XMLDecoder. La surveillance sortante sur le port 445 devrait également être activée pour identifier les tentatives potentielles de capture de hash NTLM.

Flux d’attaque

Exécution de simulation

Prérequis : Le contrôle pré-vol Télémetrie & Baseline doit être passé.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémetrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un mauvais diagnostic.

  • Récit & Commandes d’attaque : L’adversaire vise à exploiter la vulnérabilité d’Oracle PeopleSoft pour obtenir un accès non autorisé ou escalader les privilèges. Tout d’abord, ils effectuent une reconnaissance en envoyant des requêtes POST à PSEMHUB/hub pour identifier la disponibilité du service. Ensuite, ils tentent de mettre en place une web shell en écrivant un fichier .jsp malveillant dans le répertoire PSEMHUB.war application, ciblant spécifiquement le envmetadata/transactions/ chemin pour cacher leur activité au sein des structures de métadonnées d’application ayant l’air légitime.

  • Script de test de régression :

    #!/bin/bash
    # Script de simulation pour l'exploitation d'Oracle PeopleSoft PSEMHUB
    
    echo "[+] Démarrage de la simulation..."
    
    # 1. Déclenchement de selection_webservice_requests (HTTP POST)
    echo "[+] Étape 1 : Envoi de requêtes POST malveillantes..."
    curl -X POST "http://localhost/PSEMHUB/hub" -d "cmd=exploit"
    curl -X POST "http://localhost/PSIGW/HttpListeningConnector" -d "cmd=exploit"
    
    # 2. Déclenchement de selection_fs_operations (Création de fichier)
    echo "[+] Étape 2 : Création de fichiers .jsp malveillants dans les répertoires cibles..."
    
    # S'assurer que le répertoire existe pour la simulation (dans un vrai test, c'est la cible)
    mkdir -p /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/
    
    # Créer le fichier JSP malveillant
    echo "<% out.println("Exploité"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp
    
    # Créer un autre fichier .jsp sous le répertoire war pour tester la correspondance par caractère générique
    echo "<% out.println("Malveillant"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp
    
    echo "[+] Simulation terminée. Vérifiez SIEM pour les alertes."
  • Commandes de nettoyage :

    #!/bin/bash
    # Script de nettoyage
    
    echo "[+] Nettoyage des artefacts de simulation..."
    rm -f /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp
    rm -f /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp
    # Note : En production, ne supprimez pas les répertoires, seulement les fichiers créés pour le test.
    echo "[+] Nettoyage terminé."