SOC Prime Bias: Critico

16 Jun 2026 13:03 UTC

ShinyHunters Attaccano il Settore Educativo con l’Exploit di Oracle PeopleSoft

Author Photo
SOC Prime Team linkedin icon Segui
ShinyHunters Attaccano il Settore Educativo con l’Exploit di Oracle PeopleSoft
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riassunto

L’attore della minaccia UNC6240, noto anche come ShinyHunters, sta conducendo una campagna attiva di compromissione ed estorsione contro ambienti Oracle PeopleSoft. Gli aggressori sfruttano una falla zero-day di esecuzione di codice remoto nel componente Environment Management per ottenere l’accesso iniziale. Successivamente, si affidano a MeshCentral per il comando e il controllo e utilizzano script personalizzati per supportare il movimento laterale e il furto di dati.

Investigazione

Mandiant e Google Threat Intelligence Group hanno scoperto la campagna attraverso l’analisi delle directory di staging esposte dagli aggressori. La loro investigazione ha rivelato server Python SimpleHTTP che ospitavano agenti MeshCentral maligni insieme ad artefatti di cronologia dei comandi. I ricercatori hanno seguito la catena di intrusione dall’esploit di CVE-2026-35273 fino all’esposizione successiva dei dati sul sito ShinyHunters Data Leak.

Mitigazione

Le organizzazioni dovrebbero disabilitare immediatamente il servizio Environment Management Hub (EMHub) o rimuovere completamente l’applicazione PSEMHUB. Le difese perimetrali dovrebbero bloccare l’accesso esterno a /PSEMHUB/* and /PSIGW/HttpListeningConnector endpoint. Ulteriore rafforzamento dovrebbe includere l’audit dei file system del livello web per l’individuazione di file non autorizzati .jsp osservando nuove directory sospette e monitorando il traffico SMB in uscita inatteso.

Risposta

Se si sospetta una compromissione, le organizzazioni dovrebbero limitare l’accesso agli endpoint vulnerabili di PeopleSoft e rivedere i log di accesso WebLogic per attività POST sospette. I team forensi dovrebbero cercare file non autorizzati nelle directory PSEMHUB e ispezionare per persistenza basata su XMLDecoder. Il monitoraggio in uscita sulla porta 445 dovrebbe essere abilitato per identificare tentativi di cattura hash NTLM.

Flusso di Attacco

Esecuzione di Simulazione

Precondizione: Il Controllo Prevolo Telemetria & Baseline deve essere passato.

Motivo: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a errori di diagnosi.

  • Narrazione e Comandi dell’Attacco: L’avversario mira a sfruttare la vulnerabilità di Oracle PeopleSoft per ottenere accesso non autorizzato o aumentare i privilegi. Prima di tutto, eseguono una ricognizione inviando richieste POST a PSEMHUB/hub per identificare la disponibilità del servizio. In secondo luogo, tentano di installare una web shell scrivendo un .jsp file malevolo nella directory dell'applicazione PSEMHUB.war, mirato specificamente al percorso envmetadata/transactions/ envmetadata/transactions/ per nascondere la loro attività all’interno di strutture di metadati di applicazioni legittimamente appaiono.

  • Script di Test di Regressione:

    #!/bin/bash
    # Simulation Script for Oracle PeopleSoft PSEMHUB Exploitation
    
    echo "[+] Avvio Simulazione..."
    
    # 1. Attivare selection_webservice_requests (HTTP POST)
    echo "[+] Fase 1: Invio di richieste POST malevole..."
    curl -X POST "http://localhost/PSEMHUB/hub" -d "cmd=exploit"
    curl -X POST "http://localhost/PSIGW/HttpListeningConnector" -d "cmd=exploit"
    
    # 2. Attivare selection_fs_operations (Creazione File)
    echo "[+] Fase 2: Creazione di file .jsp malevoli nelle directory di destinazione..."
    
    # Assicurarsi che la directory esista per la simulazione (in un test reale, questo è l'obiettivo)
    mkdir -p /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/
    
    # Creare il file JSP malevolo
    echo "<% out.println("Compromesso"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp
    
    # Creare un altro file .jsp sotto la directory war per testare la corrispondenza del carattere jolly
    echo "<% out.println("Malevolo"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp
    
    echo "[+] Simulazione Completa. Controllare SIEM per avvisi."
  • Comandi di Pulizia:

    #!/bin/bash
    # Cleanup Script
    
    echo "[+] Pulizia degli artefatti di simulazione..."
    rm -f /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp
    rm -f /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp
    # Nota: In produzione, non eliminare le directory, solo i file creati per il test.
    echo "[+] Pulizia completata."