ShinyHunters Tem como Alvo o Setor de Educação com Exploit do Oracle PeopleSoft
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O ator de ameaça UNC6240, também conhecido como ShinyHunters, está conduzindo uma campanha ativa de comprometimento e extorsão contra ambientes Oracle PeopleSoft. Os atacantes exploram uma falha de execução remota de código zero-day no componente de Gerenciamento de Ambiente para obter acesso inicial. Em seguida, eles dependem do MeshCentral para comando e controle e usam scripts personalizados para suportar movimento lateral e roubo de dados.
Investigação
O Mandiant e o Google Threat Intelligence Group descobriram a campanha por meio de análise de diretórios de preparação de atacantes expostos. Sua investigação revelou servidores Python SimpleHTTP hospedando agentes maliciosos MeshCentral junto com artefatos de histórico de comandos. Os pesquisadores seguiram a cadeia de intrusão desde a exploração do CVE-2026-35273 até a exposição posterior de dados no site de vazamento de dados ShinyHunters.
Mitigação
As organizações devem desativar imediatamente o serviço Environment Management Hub (EMHub) ou remover completamente o aplicativo PSEMHUB. As defesas de perímetro devem bloquear o acesso externo a /PSEMHUB/* and /PSIGW/HttpListeningConnector endpoints. Fortalecimentos adicionais devem incluir auditoria dos sistemas de arquivos do nível web para arquivos .jsp não autorizados, vigilância para novos diretórios suspeitos e monitoramento para tráfego SMB de saída inesperado.
Resposta
Se houver suspeita de comprometimento, as organizações devem restringir o acesso a endpoints vulneráveis do PeopleSoft e revisar os logs de acesso do WebLogic em busca de atividade POST suspeita. As equipes de forense devem buscar nos diretórios PSEMHUB por arquivos não autorizados e inspecionar a persistência baseada em XMLDecoder. O monitoramento de saída na porta 445 também deve ser habilitado para identificar tentativas de captura de hash NTLM.
Fluxo de Ataque
Detecções
Possível Tentativa de Instalação de Software Mesh Agent RMM (via registry_event)
Visualizar
Possível Tentativa de Uso do Utilitário MeshAgent (via process_creation)
Visualizar
Script Linux Criado em Pastas Temporárias (via file_event)
Visualizar
IOCs (HashSha256) para detectar: ShinyHunters almeja setor de educação com exploração Oracle PeopleSoft
Visualizar
IOCs (SourceIP) para detectar: ShinyHunters almeja setor de educação com exploração Oracle PeopleSoft
Visualizar
IOCs (DestinationIP) para detectar: ShinyHunters almeja setor de educação com exploração Oracle PeopleSoft
Visualizar
Detecção de Script de Propagação ShinyHunters e Marcador de Desfiguração [Eventos de Arquivo Linux]
Visualizar
Detectar Exploração Oracle PeopleSoft PSEMHUB por ShinyHunters [Serviço Web]
Visualizar
Execução de Simulação
Pré-Requisito: O Pré-voo de Telemetria & Baseline deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para disparar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar a geração da telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos errôneos.
-
Narrativa de Ataque & Comandos: O adversário visa explorar a vulnerabilidade Oracle PeopleSoft para obter acesso não autorizado ou escalar privilégios. Primeiro, eles realizam reconhecimento enviando solicitações POST para
PSEMHUB/hubpara identificar disponibilidade do serviço. Em segundo, eles tentam preparar um web shell escrevendo um.jsparquivo malicioso para o diretório de aplicativosPSEMHUB.war, especificamente visando o caminhoenvmetadata/transactions/para esconder suas atividades em estruturas de metadados de aplicativos que parecem legítimas. -
Script de Teste de Regressão:
#!/bin/bash # Script de Simulação para Exploração do Oracle PeopleSoft PSEMHUB echo "[+] Iniciando Simulação..." # 1. Disparar selection_webservice_requests (HTTP POST) echo "[+] Etapa 1: Enviando solicitações POST maliciosas..." curl -X POST "http://localhost/PSEMHUB/hub" -d "cmd=exploit" curl -X POST "http://localhost/PSIGW/HttpListeningConnector" -d "cmd=exploit" # 2. Disparar selection_fs_operations (Criação de Arquivo) echo "[+] Etapa 2: Criando arquivos .jsp maliciosos nos diretórios alvos..." # Garantir que o diretório exista para a simulação (em um teste real, este é o alvo) mkdir -p /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/ # Criar o arquivo JSP malicioso echo "<% out.println("Exploited"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp # Criar outro arquivo .jsp no diretório war para testar a correspondência do curinga echo "<% out.println("Malicious"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp echo "[+] Simulação Completa. Verifique alertas no SIEM." -
Comandos de Limpeza:
#!/bin/bash # Script de Limpeza echo "[+] Limpando artefatos de simulação..." rm -f /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp rm -f /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp # Nota: Em produção, não exclua diretórios, apenas os arquivos criados para teste. echo "[+] Limpeza concluída."