ShinyHunters、Oracle PeopleSoftの脆弱性を利用して教育セクターを狙う
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
UNC6240(別名:ShinyHunters)と呼ばれる脅威アクターが、Oracle PeopleSoft環境に対して活発な侵入と恐喝キャンペーンを実施しています。攻撃者はEnvironment Managementコンポーネントのゼロデイ・リモートコード実行の脆弱性を悪用して初期アクセスを獲得し、その後、MeshCentralをコマンド・アンド・コントロールに使用し、横方向移動とデータ窃取を支援するためのカスタムスクリプトを使用しています。
調査
Mandiant と Google Threat Intelligence Group は、漏洩した攻撃者のステージングディレクトリを分析することでキャンペーンを発見しました。調査では、不正な MeshCentral エージェントをホスティングする Python SimpleHTTP サーバーとコマンド履歴のアーティファクトが明らかになりました。研究者たちは、CVE-2026-35273の悪用から、ShinyHuntersデータ漏洩サイトでのデータ露出に至る侵入経路を追跡しました。
軽減策
組織は直ちに Environment Management Hub (EMHub) サービスを無効化するか、PSEMHUB アプリケーションを完全に削除する必要があります。周辺防御は外部からのアクセスをブロックするべきです /PSEMHUB/* and /PSIGW/HttpListeningConnector エンドポイント。追加の強化措置としては、不正な .jsp ファイルについてのウェブティアのファイルシステム監査、新しい疑わしいディレクトリの監視、及び予期しないアウトバウンドSMBトラフィックの監視が含まれます。
対応
もし侵入が疑われる場合、組織は脆弱な PeopleSoft エンドポイントへのアクセスを制限し、WebLogicのアクセスログを不審なPOST活動を確認するべきです。フォレンジックチームは、PSEMHUBディレクトリで不許可ファイルの検索やXMLDecoderに基づく永続性の調査を行うべきです。可能なNTLMハッシュ取得の試みを特定するために、ポート445のアウトバウンドモニタリングも有効にしてください。
攻撃の流れ
検出
可能なMesh Agent RMMソフトウェアインストール試行(via registry_event)
表示
可能なMeshAgentユーティリティ利用試行(via process_creation)
表示
Linuxスクリプトが一時フォルダーに作成された(via file_event)
表示
検出するためのIOCs(HashSha256):ShinyHuntersがOracle PeopleSoft Exploitで教育分野を標的に
表示
検出するためのIOCs(SourceIP):ShinyHuntersがOracle PeopleSoft Exploitで教育分野を標的に
表示
検出するためのIOCs(DestinationIP):ShinyHuntersがOracle PeopleSoft Exploitで教育分野を標的に
表示
ShinyHuntersの伝播スクリプトと改ざん用マーカーの検出 [Linuxファイルイベント]
表示
ShinyHuntersによるOracle PeopleSoft PSEMHUB 悪用を検出する [ウェブサーバー]
表示
シミュレーション実行
前提条件:テレメトリーとベースライン事前チェックが合格している必要があります。
理由:このセクションでは、検出ルールを引き起こすために設計された攻撃者の手法 (TTP) の正確な実行を詳述します。コマンドと説明は特定されたいTTPに直接反映され、検出ロジックによって期待される正確なテレメトリを生成する必要があります。抽象的または無関係な例は誤診につながります。
-
攻撃のストーリーとコマンド: 攻撃者はOracle PeopleSoftの脆弱性を利用して不正なアクセスを得たり、特権を昇格させようとします。まず、彼らはPOSTリクエストを送信して偵察を行い、
PSEMHUB/hubサービスの可用性を確認します。次に、悪意のある.jspファイルをPSEMHUB.warアプリケーションディレクトリに書き込み、特にenvmetadata/transactions/パスを狙って、正当なアプリケーションメタデータ構造に偽装して活動を隠蔽します。 -
回帰テストスクリプト:
#!/bin/bash # Oracle PeopleSoft PSEMHUB 悪用のシミュレーションスクリプト echo "[+] シミュレーション開始..." # 1. selection_webservice_requests をトリガー (HTTP POST) echo "[+] ステップ1: 不正な POST リクエスト送信中..." curl -X POST "http://localhost/PSEMHUB/hub" -d "cmd=exploit" curl -X POST "http://localhost/PSIGW/HttpListeningConnector" -d "cmd=exploit" # 2. selection_fs_operations をトリガー (ファイル作成) echo "[+] ステップ2: ターゲットディレクトリでの不正な .jsp ファイルの作成..." # シミュレーション用にディレクトリを確保(実際のテストではこれはターゲット) mkdir -p /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/ # 悪意のあるJSPファイルを作成 echo "<% out.println("Exploited"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp # ワイルドカードマッチをテストするために別の .jsp ファイルを war ディレクトリに作成 echo "<% out.println("Malicious"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp echo "[+] シミュレーション完了。SIEM でアラートを確認してください。" -
クリーンアップ コマンド:
#!/bin/bash # クリーンアップ スクリプト echo "[+] シミュレーションアーティファクトをクリーンアップ中..." rm -f /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp rm -f /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp # 注意: 本番環境ではディレクトリを削除せず、テスト用に作成されたファイルのみを削除してください。 echo "[+] クリーンアップ完了。"