SOC Prime Bias: 重大

16 Jun 2026 13:03 UTC

ShinyHunters、Oracle PeopleSoftの脆弱性を利用して教育セクターを狙う

Author Photo
SOC Prime Team linkedin icon フォローする
ShinyHunters、Oracle PeopleSoftの脆弱性を利用して教育セクターを狙う
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

UNC6240(別名:ShinyHunters)と呼ばれる脅威アクターが、Oracle PeopleSoft環境に対して活発な侵入と恐喝キャンペーンを実施しています。攻撃者はEnvironment Managementコンポーネントのゼロデイ・リモートコード実行の脆弱性を悪用して初期アクセスを獲得し、その後、MeshCentralをコマンド・アンド・コントロールに使用し、横方向移動とデータ窃取を支援するためのカスタムスクリプトを使用しています。

調査

Mandiant と Google Threat Intelligence Group は、漏洩した攻撃者のステージングディレクトリを分析することでキャンペーンを発見しました。調査では、不正な MeshCentral エージェントをホスティングする Python SimpleHTTP サーバーとコマンド履歴のアーティファクトが明らかになりました。研究者たちは、CVE-2026-35273の悪用から、ShinyHuntersデータ漏洩サイトでのデータ露出に至る侵入経路を追跡しました。

軽減策

組織は直ちに Environment Management Hub (EMHub) サービスを無効化するか、PSEMHUB アプリケーションを完全に削除する必要があります。周辺防御は外部からのアクセスをブロックするべきです /PSEMHUB/* and /PSIGW/HttpListeningConnector エンドポイント。追加の強化措置としては、不正な .jsp ファイルについてのウェブティアのファイルシステム監査、新しい疑わしいディレクトリの監視、及び予期しないアウトバウンドSMBトラフィックの監視が含まれます。

対応

もし侵入が疑われる場合、組織は脆弱な PeopleSoft エンドポイントへのアクセスを制限し、WebLogicのアクセスログを不審なPOST活動を確認するべきです。フォレンジックチームは、PSEMHUBディレクトリで不許可ファイルの検索やXMLDecoderに基づく永続性の調査を行うべきです。可能なNTLMハッシュ取得の試みを特定するために、ポート445のアウトバウンドモニタリングも有効にしてください。

攻撃の流れ

シミュレーション実行

前提条件:テレメトリーとベースライン事前チェックが合格している必要があります。

理由:このセクションでは、検出ルールを引き起こすために設計された攻撃者の手法 (TTP) の正確な実行を詳述します。コマンドと説明は特定されたいTTPに直接反映され、検出ロジックによって期待される正確なテレメトリを生成する必要があります。抽象的または無関係な例は誤診につながります。

  • 攻撃のストーリーとコマンド: 攻撃者はOracle PeopleSoftの脆弱性を利用して不正なアクセスを得たり、特権を昇格させようとします。まず、彼らはPOSTリクエストを送信して偵察を行い、 PSEMHUB/hub サービスの可用性を確認します。次に、悪意のある .jsp ファイルを PSEMHUB.war アプリケーションディレクトリに書き込み、特に envmetadata/transactions/ パスを狙って、正当なアプリケーションメタデータ構造に偽装して活動を隠蔽します。

  • 回帰テストスクリプト:

    #!/bin/bash
    # Oracle PeopleSoft PSEMHUB 悪用のシミュレーションスクリプト
    
    echo "[+] シミュレーション開始..."
    
    # 1. selection_webservice_requests をトリガー (HTTP POST)
    echo "[+] ステップ1: 不正な POST リクエスト送信中..."
    curl -X POST "http://localhost/PSEMHUB/hub" -d "cmd=exploit"
    curl -X POST "http://localhost/PSIGW/HttpListeningConnector" -d "cmd=exploit"
    
    # 2. selection_fs_operations をトリガー (ファイル作成)
    echo "[+] ステップ2: ターゲットディレクトリでの不正な .jsp ファイルの作成..."
    
    # シミュレーション用にディレクトリを確保(実際のテストではこれはターゲット)
    mkdir -p /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/
    
    # 悪意のあるJSPファイルを作成
    echo "<% out.println("Exploited"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp
    
    # ワイルドカードマッチをテストするために別の .jsp ファイルを war ディレクトリに作成
    echo "<% out.println("Malicious"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp
    
    echo "[+] シミュレーション完了。SIEM でアラートを確認してください。"
  • クリーンアップ コマンド:

    #!/bin/bash
    # クリーンアップ スクリプト
    
    echo "[+] シミュレーションアーティファクトをクリーンアップ中..."
    rm -f /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp
    rm -f /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp
    # 注意: 本番環境ではディレクトリを削除せず、テスト用に作成されたファイルのみを削除してください。
    echo "[+] クリーンアップ完了。"