ShinyHunters Attaccano il Settore Educativo con l’Exploit di Oracle PeopleSoft
Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
L’attore della minaccia UNC6240, noto anche come ShinyHunters, sta conducendo una campagna attiva di compromissione ed estorsione contro ambienti Oracle PeopleSoft. Gli aggressori sfruttano una falla zero-day di esecuzione di codice remoto nel componente Environment Management per ottenere l’accesso iniziale. Successivamente, si affidano a MeshCentral per il comando e il controllo e utilizzano script personalizzati per supportare il movimento laterale e il furto di dati.
Investigazione
Mandiant e Google Threat Intelligence Group hanno scoperto la campagna attraverso l’analisi delle directory di staging esposte dagli aggressori. La loro investigazione ha rivelato server Python SimpleHTTP che ospitavano agenti MeshCentral maligni insieme ad artefatti di cronologia dei comandi. I ricercatori hanno seguito la catena di intrusione dall’esploit di CVE-2026-35273 fino all’esposizione successiva dei dati sul sito ShinyHunters Data Leak.
Mitigazione
Le organizzazioni dovrebbero disabilitare immediatamente il servizio Environment Management Hub (EMHub) o rimuovere completamente l’applicazione PSEMHUB. Le difese perimetrali dovrebbero bloccare l’accesso esterno a /PSEMHUB/* and /PSIGW/HttpListeningConnector endpoint. Ulteriore rafforzamento dovrebbe includere l’audit dei file system del livello web per l’individuazione di file non autorizzati .jsp osservando nuove directory sospette e monitorando il traffico SMB in uscita inatteso.
Risposta
Se si sospetta una compromissione, le organizzazioni dovrebbero limitare l’accesso agli endpoint vulnerabili di PeopleSoft e rivedere i log di accesso WebLogic per attività POST sospette. I team forensi dovrebbero cercare file non autorizzati nelle directory PSEMHUB e ispezionare per persistenza basata su XMLDecoder. Il monitoraggio in uscita sulla porta 445 dovrebbe essere abilitato per identificare tentativi di cattura hash NTLM.
graph TB %% Definizione delle classi classDef action fill:#99ccff classDef tool fill:#cccccc classDef vulnerability fill:#ff9999 classDef file fill:#ccffcc %% Fase di Accesso Iniziale vuln_psemhub[“<b>Vulnerabilità</b><br/>CVE-2026-35273<br/>Sfruttamento del componente<br/>Oracle PeopleSoft Environment Management (PSEMHUB)”] class vuln_psemhub vulnerability action_initial_access[“<b>Azione</b> – T1210: Sfruttamento dei Servizi Remoti<br/><b>Descrizione</b>: Sfruttamento di una vulnerabilità RCE zero-day<br/>in PSEMHUB per ottenere l’accesso iniziale.”] class action_initial_access action %% Fase Command and Control tool_meshcentral[“<b>Strumento</b> – MeshCentral<br/><b>Descrizione</b>: Server di gestione remota utilizzato<br/>per la preparazione dell’infrastruttura C2.<br/><b>Tipo</b>: Strumento di Accesso Remoto”] class tool_meshcentral tool tool_acme_client[“<b>Strumento</b> – acme-client (pacchetto npm)<br/><b>Descrizione</b>: Automatizza il rilascio dei certificati SSL<br/>per il dominio contraffatto azurenetfiles.net.”] class tool_acme_client tool file_meshagent[“<b>File</b> – meshagent64-azure-ops.exe<br/><b>Descrizione</b>: Agente Windows MeshCentral personalizzato<br/>utilizzato per facilitare la gestione remota.”] class file_meshagent file %% Fase di Ricognizione action_recon[“<b>Azione</b> – T1082: Individuazione delle Informazioni di Sistema<br/><b>Descrizione</b>: Mappatura delle configurazioni Oracle PeopleSoft<br/>e analisi dei punti di montaggio di rete.”] class action_recon action tool_meshctrl[“<b>Strumento</b> – meshctrl.js<br/><b>Descrizione</b>: Utility da riga di comando MeshCentral<br/>utilizzata per attività di discovery.”] class tool_meshctrl tool file_config_files[“<b>File Target</b><br/>psappsrv.cfg e WebLogic config.xml<br/>utilizzati per la mappatura delle configurazioni.”] class file_config_files file %% Fase di Movimento Laterale action_lateral[“<b>Azione</b> – T1110.003: Forza Bruta: Password Spraying<br/><b>Descrizione</b>: Esecuzione di campagne di<br/>spray delle credenziali SSH contro host interni.”] class action_lateral action script_fanout[“<b>File/Script</b> – [victim_abbreviation]_fanout.sh<br/><b>Descrizione</b>: Script Bash personalizzato per<br/>spray delle credenziali e propagazione di file estorsivi.”] class script_fanout file file_extort[“<b>File</b> – README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT<br/><b>Descrizione</b>: File indicatore di compromissione,<br/>deturpazione ed estorsione.”] class file_extort file %% Fase di Esfiltrazione action_exfil[“<b>Azione</b> – T1560: Archiviazione dei Dati Raccolti<br/><b>Descrizione</b>: Compressione dei dati sottratti<br/>prima dell’esfiltrazione.”] class action_exfil action tool_zstd[“<b>Strumento</b> – zstd<br/><b>Descrizione</b>: Utility utilizzata per comprimere<br/>le directory preparate per l’esfiltrazione.”] class tool_zstd tool %% Connessioni vuln_psemhub –>|sfruttata_da| action_initial_access action_initial_access –>|stabilisce_C2| tool_meshcentral tool_meshcentral –>|utilizza| tool_acme_client tool_meshcentral –>|distribuisce| file_meshagent tool_meshcentral –>|abilita| action_recon action_recon –>|utilizza| tool_meshctrl action_recon –>|analizza| file_config_files action_recon –>|porta_a| action_lateral action_lateral –>|esegue| script_fanout script_fanout –>|propaga| file_extort script_fanout –>|porta_a| action_exfil action_exfil –>|utilizza| tool_zstd
Flusso di Attacco
Rilevamenti
Possibile Tentativo di Installazione Software RMM Mesh Agent (via registry_event)
Visualizza
Possibile Tentativo di Utilizzo Utility MeshAgent (via process_creation)
Visualizza
Script Linux Creato Nelle Cartelle Temporanee (via file_event)
Visualizza
IOC (HashSha256) per rilevare: ShinyHunters Mira al Settore Educativo con Exploit Oracle PeopleSoft
Visualizza
IOC (SourceIP) per rilevare: ShinyHunters Mira al Settore Educativo con Exploit Oracle PeopleSoft
Visualizza
IOC (DestinationIP) per rilevare: ShinyHunters Mira al Settore Educativo con Exploit Oracle PeopleSoft
Visualizza
Rilevamento dello Script di Propagazione ShinyHunters e del Marcatore di Sfregio [Evento File Linux]
Visualizza
Rileva lo Sfruttamento di Oracle PeopleSoft PSEMHUB da parte di ShinyHunters [Server Web]
Visualizza
Esecuzione di Simulazione
Precondizione: Il Controllo Prevolo Telemetria & Baseline deve essere passato.
Motivo: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a errori di diagnosi.
-
Narrazione e Comandi dell’Attacco: L’avversario mira a sfruttare la vulnerabilità di Oracle PeopleSoft per ottenere accesso non autorizzato o aumentare i privilegi. Prima di tutto, eseguono una ricognizione inviando richieste POST a
PSEMHUB/hubper identificare la disponibilità del servizio. In secondo luogo, tentano di installare una web shell scrivendo un.jspfile malevolo nelladirectory dell'applicazione PSEMHUB.war, mirato specificamente alpercorso envmetadata/transactions/envmetadata/transactions/per nascondere la loro attività all’interno di strutture di metadati di applicazioni legittimamente appaiono. -
Script di Test di Regressione:
#!/bin/bash # Simulation Script for Oracle PeopleSoft PSEMHUB Exploitation echo "[+] Avvio Simulazione..." # 1. Attivare selection_webservice_requests (HTTP POST) echo "[+] Fase 1: Invio di richieste POST malevole..." curl -X POST "http://localhost/PSEMHUB/hub" -d "cmd=exploit" curl -X POST "http://localhost/PSIGW/HttpListeningConnector" -d "cmd=exploit" # 2. Attivare selection_fs_operations (Creazione File) echo "[+] Fase 2: Creazione di file .jsp malevoli nelle directory di destinazione..." # Assicurarsi che la directory esista per la simulazione (in un test reale, questo è l'obiettivo) mkdir -p /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/ # Creare il file JSP malevolo echo "<% out.println("Compromesso"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp # Creare un altro file .jsp sotto la directory war per testare la corrispondenza del carattere jolly echo "<% out.println("Malevolo"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp echo "[+] Simulazione Completa. Controllare SIEM per avvisi." -
Comandi di Pulizia:
#!/bin/bash # Cleanup Script echo "[+] Pulizia degli artefatti di simulazione..." rm -f /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp rm -f /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp # Nota: In produzione, non eliminare le directory, solo i file creati per il test. echo "[+] Pulizia completata."