ShinyHunters cible le secteur de l’éducation avec un exploit Oracle PeopleSoft
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
L’acteur de la menace UNC6240, également connu sous le nom de ShinyHunters, mène une campagne active de compromission et d’extorsion contre les environnements Oracle PeopleSoft. Les attaquants exploitent une faille d’exécution de code à distance zero-day dans le composant de gestion de l’environnement pour obtenir un accès initial. Ils s’appuient ensuite sur MeshCentral pour le commandement et le contrôle et utilisent des scripts personnalisés pour soutenir le mouvement latéral et le vol de données.
Enquête
Mandiant et le Groupe Google Threat Intelligence ont découvert la campagne à travers l’analyse des répertoires de mise en scène exposés par les attaquants. Leur enquête a révélé des serveurs Python SimpleHTTP hébergeant des agents malveillants MeshCentral ainsi que des artefacts d’historique de commandes. Les chercheurs ont suivi la chaîne d’intrusion de l’exploitation de CVE-2026-35273 jusqu’à l’exposition ultérieure de données sur le site de fuite de données ShinyHunters.
Atténuation
Les organisations devraient immédiatement désactiver le service Environment Management Hub (EMHub) ou supprimer entièrement l’application PSEMHUB. Les défenses périmétriques devraient bloquer l’accès externe à /PSEMHUB/* and /PSIGW/HttpListeningConnector points de terminaison. Un renforcement supplémentaire devrait inclure l’audit des systèmes de fichiers du niveau Web pour rechercher des .jsp fichiers non autorisés, surveiller les nouveaux répertoires suspects et contrôler le trafic SMB sortant inattendu.
Réponse
Si une compromission est suspectée, les organisations devraient restreindre l’accès aux points de terminaison vulnérables PeopleSoft et vérifier les journaux d’accès WebLogic pour des activités POST suspectes. Les équipes de médecine légale devraient rechercher dans les répertoires PSEMHUB des fichiers non autorisés et inspecter pour une persistance basée sur XMLDecoder. La surveillance sortante sur le port 445 devrait également être activée pour identifier les tentatives potentielles de capture de hash NTLM.
Flux d’attaque
Détections
Tentative d’installation possible d’un logiciel RMM Mesh Agent (via registry_event)
Voir
Tentative d’utilisation de l’utilitaire MeshAgent possible (via process_creation)
Voir
Script Linux créé dans des dossiers temporaires (via file_event)
Voir
IOCs (HashSha256) pour détecter : ShinyHunters cible le secteur de l’éducation avec une exploitation Oracle PeopleSoft
Voir
IOCs (SourceIP) pour détecter : ShinyHunters cible le secteur de l’éducation avec une exploitation Oracle PeopleSoft
Voir
IOCs (DestinationIP) pour détecter : ShinyHunters cible le secteur de l’éducation avec une exploitation Oracle PeopleSoft
Voir
Détection du script de propagation de ShinyHunters et du marqueur de défiguration [Événement de fichier Linux]
Voir
Détecter l’exploitation Oracle PeopleSoft PSEMHUB par ShinyHunters [Serveur web]
Voir
Exécution de simulation
Prérequis : Le contrôle pré-vol Télémetrie & Baseline doit être passé.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémetrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un mauvais diagnostic.
-
Récit & Commandes d’attaque : L’adversaire vise à exploiter la vulnérabilité d’Oracle PeopleSoft pour obtenir un accès non autorisé ou escalader les privilèges. Tout d’abord, ils effectuent une reconnaissance en envoyant des requêtes POST à
PSEMHUB/hubpour identifier la disponibilité du service. Ensuite, ils tentent de mettre en place une web shell en écrivant un fichier.jspmalveillant dans le répertoirePSEMHUB.warapplication, ciblant spécifiquement leenvmetadata/transactions/chemin pour cacher leur activité au sein des structures de métadonnées d’application ayant l’air légitime. -
Script de test de régression :
#!/bin/bash # Script de simulation pour l'exploitation d'Oracle PeopleSoft PSEMHUB echo "[+] Démarrage de la simulation..." # 1. Déclenchement de selection_webservice_requests (HTTP POST) echo "[+] Étape 1 : Envoi de requêtes POST malveillantes..." curl -X POST "http://localhost/PSEMHUB/hub" -d "cmd=exploit" curl -X POST "http://localhost/PSIGW/HttpListeningConnector" -d "cmd=exploit" # 2. Déclenchement de selection_fs_operations (Création de fichier) echo "[+] Étape 2 : Création de fichiers .jsp malveillants dans les répertoires cibles..." # S'assurer que le répertoire existe pour la simulation (dans un vrai test, c'est la cible) mkdir -p /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/ # Créer le fichier JSP malveillant echo "<% out.println("Exploité"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp # Créer un autre fichier .jsp sous le répertoire war pour tester la correspondance par caractère générique echo "<% out.println("Malveillant"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp echo "[+] Simulation terminée. Vérifiez SIEM pour les alertes." -
Commandes de nettoyage :
#!/bin/bash # Script de nettoyage echo "[+] Nettoyage des artefacts de simulation..." rm -f /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp rm -f /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp # Note : En production, ne supprimez pas les répertoires, seulement les fichiers créés pour le test. echo "[+] Nettoyage terminé."