SOC Prime Bias: Crítico

16 Jun 2026 13:03 UTC

ShinyHunters Tem como Alvo o Setor de Educação com Exploit do Oracle PeopleSoft

Author Photo
SOC Prime Team linkedin icon Seguir
ShinyHunters Tem como Alvo o Setor de Educação com Exploit do Oracle PeopleSoft
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

O ator de ameaça UNC6240, também conhecido como ShinyHunters, está conduzindo uma campanha ativa de comprometimento e extorsão contra ambientes Oracle PeopleSoft. Os atacantes exploram uma falha de execução remota de código zero-day no componente de Gerenciamento de Ambiente para obter acesso inicial. Em seguida, eles dependem do MeshCentral para comando e controle e usam scripts personalizados para suportar movimento lateral e roubo de dados.

Investigação

O Mandiant e o Google Threat Intelligence Group descobriram a campanha por meio de análise de diretórios de preparação de atacantes expostos. Sua investigação revelou servidores Python SimpleHTTP hospedando agentes maliciosos MeshCentral junto com artefatos de histórico de comandos. Os pesquisadores seguiram a cadeia de intrusão desde a exploração do CVE-2026-35273 até a exposição posterior de dados no site de vazamento de dados ShinyHunters.

Mitigação

As organizações devem desativar imediatamente o serviço Environment Management Hub (EMHub) ou remover completamente o aplicativo PSEMHUB. As defesas de perímetro devem bloquear o acesso externo a /PSEMHUB/* and /PSIGW/HttpListeningConnector endpoints. Fortalecimentos adicionais devem incluir auditoria dos sistemas de arquivos do nível web para arquivos .jsp não autorizados, vigilância para novos diretórios suspeitos e monitoramento para tráfego SMB de saída inesperado.

Resposta

Se houver suspeita de comprometimento, as organizações devem restringir o acesso a endpoints vulneráveis do PeopleSoft e revisar os logs de acesso do WebLogic em busca de atividade POST suspeita. As equipes de forense devem buscar nos diretórios PSEMHUB por arquivos não autorizados e inspecionar a persistência baseada em XMLDecoder. O monitoramento de saída na porta 445 também deve ser habilitado para identificar tentativas de captura de hash NTLM.

Fluxo de Ataque

Execução de Simulação

Pré-Requisito: O Pré-voo de Telemetria & Baseline deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para disparar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar a geração da telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos errôneos.

  • Narrativa de Ataque & Comandos: O adversário visa explorar a vulnerabilidade Oracle PeopleSoft para obter acesso não autorizado ou escalar privilégios. Primeiro, eles realizam reconhecimento enviando solicitações POST para PSEMHUB/hub para identificar disponibilidade do serviço. Em segundo, eles tentam preparar um web shell escrevendo um .jsp arquivo malicioso para o diretório de aplicativos PSEMHUB.war , especificamente visando o caminho envmetadata/transactions/ para esconder suas atividades em estruturas de metadados de aplicativos que parecem legítimas.

  • Script de Teste de Regressão:

    #!/bin/bash
    # Script de Simulação para Exploração do Oracle PeopleSoft PSEMHUB
    
    echo "[+] Iniciando Simulação..."
    
    # 1. Disparar selection_webservice_requests (HTTP POST)
    echo "[+] Etapa 1: Enviando solicitações POST maliciosas..."
    curl -X POST "http://localhost/PSEMHUB/hub" -d "cmd=exploit"
    curl -X POST "http://localhost/PSIGW/HttpListeningConnector" -d "cmd=exploit"
    
    # 2. Disparar selection_fs_operations (Criação de Arquivo)
    echo "[+] Etapa 2: Criando arquivos .jsp maliciosos nos diretórios alvos..."
    
    # Garantir que o diretório exista para a simulação (em um teste real, este é o alvo)
    mkdir -p /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/
    
    # Criar o arquivo JSP malicioso
    echo "<% out.println("Exploited"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp
    
    # Criar outro arquivo .jsp no diretório war para testar a correspondência do curinga
    echo "<% out.println("Malicious"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp
    
    echo "[+] Simulação Completa. Verifique alertas no SIEM."
  • Comandos de Limpeza:

    #!/bin/bash
    # Script de Limpeza
    
    echo "[+] Limpando artefatos de simulação..."
    rm -f /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp
    rm -f /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp
    # Nota: Em produção, não exclua diretórios, apenas os arquivos criados para teste.
    echo "[+] Limpeza concluída."