ShinyHunters Tem como Alvo o Setor de Educação com Exploit do Oracle PeopleSoft
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O ator de ameaça UNC6240, também conhecido como ShinyHunters, está conduzindo uma campanha ativa de comprometimento e extorsão contra ambientes Oracle PeopleSoft. Os atacantes exploram uma falha de execução remota de código zero-day no componente de Gerenciamento de Ambiente para obter acesso inicial. Em seguida, eles dependem do MeshCentral para comando e controle e usam scripts personalizados para suportar movimento lateral e roubo de dados.
Investigação
O Mandiant e o Google Threat Intelligence Group descobriram a campanha por meio de análise de diretórios de preparação de atacantes expostos. Sua investigação revelou servidores Python SimpleHTTP hospedando agentes maliciosos MeshCentral junto com artefatos de histórico de comandos. Os pesquisadores seguiram a cadeia de intrusão desde a exploração do CVE-2026-35273 até a exposição posterior de dados no site de vazamento de dados ShinyHunters.
Mitigação
As organizações devem desativar imediatamente o serviço Environment Management Hub (EMHub) ou remover completamente o aplicativo PSEMHUB. As defesas de perímetro devem bloquear o acesso externo a /PSEMHUB/* and /PSIGW/HttpListeningConnector endpoints. Fortalecimentos adicionais devem incluir auditoria dos sistemas de arquivos do nível web para arquivos .jsp não autorizados, vigilância para novos diretórios suspeitos e monitoramento para tráfego SMB de saída inesperado.
Resposta
Se houver suspeita de comprometimento, as organizações devem restringir o acesso a endpoints vulneráveis do PeopleSoft e revisar os logs de acesso do WebLogic em busca de atividade POST suspeita. As equipes de forense devem buscar nos diretórios PSEMHUB por arquivos não autorizados e inspecionar a persistência baseada em XMLDecoder. O monitoramento de saída na porta 445 também deve ser habilitado para identificar tentativas de captura de hash NTLM.
graph TB %% Definições de Classes classDef action fill:#99ccff classDef tool fill:#cccccc classDef vulnerability fill:#ff9999 classDef file fill:#ccffcc %% Estágio de Acesso Inicial vuln_psemhub[“<b>Vulnerabilidade</b><br/>CVE-2026-35273<br/>Exploração do componente<br/>Oracle PeopleSoft Environment Management (PSEMHUB)”] class vuln_psemhub vulnerability action_initial_access[“<b>Ação</b> – T1210: Exploração de Serviços Remotos<br/><b>Descrição</b>: Exploração de uma vulnerabilidade RCE zero-day<br/>no PSEMHUB para obter acesso inicial.”] class action_initial_access action %% Estágio de Comando e Controle tool_meshcentral[“<b>Ferramenta</b> – MeshCentral<br/><b>Descrição</b>: Servidor de gerenciamento remoto utilizado<br/>para preparação do C2.<br/><b>Tipo</b>: Ferramenta de Acesso Remoto”] class tool_meshcentral tool tool_acme_client[“<b>Ferramenta</b> – acme-client (pacote npm)<br/><b>Descrição</b>: Automatiza o provisionamento de certificados SSL<br/>para o domínio de falsificação azurenetfiles.net.”] class tool_acme_client tool file_meshagent[“<b>Arquivo</b> – meshagent64-azure-ops.exe<br/><b>Descrição</b>: Agente Windows personalizado do MeshCentral<br/>usado para facilitar o gerenciamento remoto.”] class file_meshagent file %% Estágio de Reconhecimento action_recon[“<b>Ação</b> – T1082: Descoberta de Informações do Sistema<br/><b>Descrição</b>: Mapeamento das configurações Oracle PeopleSoft<br/>e auditoria de pontos de montagem de rede.”] class action_recon action tool_meshctrl[“<b>Ferramenta</b> – meshctrl.js<br/><b>Descrição</b>: Utilitário de linha de comando do MeshCentral<br/>usado para operações de descoberta.”] class tool_meshctrl tool file_config_files[“<b>Arquivos Alvo</b><br/>psappsrv.cfg e WebLogic config.xml<br/>usados para mapear configurações.”] class file_config_files file %% Estágio de Movimento Lateral action_lateral[“<b>Ação</b> – T1110.003: Força Bruta: Password Spraying<br/><b>Descrição</b>: Realização de pulverização<br/>de credenciais SSH contra hosts internos.”] class action_lateral action script_fanout[“<b>Arquivo/Script</b> – [victim_abbreviation]_fanout.sh<br/><b>Descrição</b>: Script Bash personalizado para pulverização<br/>de credenciais e propagação de arquivos de extorsão.”] class script_fanout file file_extort[“<b>Arquivo</b> – README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT<br/><b>Descrição</b>: Arquivo marcador de desfiguração<br/>e extorsão.”] class file_extort file %% Estágio de Exfiltração action_exfil[“<b>Ação</b> – T1560: Arquivamento de Dados Coletados<br/><b>Descrição</b>: Compactação de dados roubados<br/>antes da exfiltração.”] class action_exfil action tool_zstd[“<b>Ferramenta</b> – zstd<br/><b>Descrição</b>: Utilitário usado para compactar<br/>diretórios preparados para exfiltração.”] class tool_zstd tool %% Conexões vuln_psemhub –>|explorado_por| action_initial_access action_initial_access –>|estabelece_C2| tool_meshcentral tool_meshcentral –>|utiliza| tool_acme_client tool_meshcentral –>|implanta| file_meshagent tool_meshcentral –>|facilita| action_recon action_recon –>|utiliza| tool_meshctrl action_recon –>|inspeciona| file_config_files action_recon –>|leva_a| action_lateral action_lateral –>|executa| script_fanout script_fanout –>|propaga| file_extort script_fanout –>|leva_a| action_exfil action_exfil –>|utiliza| tool_zstd
Fluxo de Ataque
Detecções
Possível Tentativa de Instalação de Software Mesh Agent RMM (via registry_event)
Visualizar
Possível Tentativa de Uso do Utilitário MeshAgent (via process_creation)
Visualizar
Script Linux Criado em Pastas Temporárias (via file_event)
Visualizar
IOCs (HashSha256) para detectar: ShinyHunters almeja setor de educação com exploração Oracle PeopleSoft
Visualizar
IOCs (SourceIP) para detectar: ShinyHunters almeja setor de educação com exploração Oracle PeopleSoft
Visualizar
IOCs (DestinationIP) para detectar: ShinyHunters almeja setor de educação com exploração Oracle PeopleSoft
Visualizar
Detecção de Script de Propagação ShinyHunters e Marcador de Desfiguração [Eventos de Arquivo Linux]
Visualizar
Detectar Exploração Oracle PeopleSoft PSEMHUB por ShinyHunters [Serviço Web]
Visualizar
Execução de Simulação
Pré-Requisito: O Pré-voo de Telemetria & Baseline deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para disparar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar a geração da telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos errôneos.
-
Narrativa de Ataque & Comandos: O adversário visa explorar a vulnerabilidade Oracle PeopleSoft para obter acesso não autorizado ou escalar privilégios. Primeiro, eles realizam reconhecimento enviando solicitações POST para
PSEMHUB/hubpara identificar disponibilidade do serviço. Em segundo, eles tentam preparar um web shell escrevendo um.jsparquivo malicioso para o diretório de aplicativosPSEMHUB.war, especificamente visando o caminhoenvmetadata/transactions/para esconder suas atividades em estruturas de metadados de aplicativos que parecem legítimas. -
Script de Teste de Regressão:
#!/bin/bash # Script de Simulação para Exploração do Oracle PeopleSoft PSEMHUB echo "[+] Iniciando Simulação..." # 1. Disparar selection_webservice_requests (HTTP POST) echo "[+] Etapa 1: Enviando solicitações POST maliciosas..." curl -X POST "http://localhost/PSEMHUB/hub" -d "cmd=exploit" curl -X POST "http://localhost/PSIGW/HttpListeningConnector" -d "cmd=exploit" # 2. Disparar selection_fs_operations (Criação de Arquivo) echo "[+] Etapa 2: Criando arquivos .jsp maliciosos nos diretórios alvos..." # Garantir que o diretório exista para a simulação (em um teste real, este é o alvo) mkdir -p /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/ # Criar o arquivo JSP malicioso echo "<% out.println("Exploited"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp # Criar outro arquivo .jsp no diretório war para testar a correspondência do curinga echo "<% out.println("Malicious"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp echo "[+] Simulação Completa. Verifique alertas no SIEM." -
Comandos de Limpeza:
#!/bin/bash # Script de Limpeza echo "[+] Limpando artefatos de simulação..." rm -f /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp rm -f /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp # Nota: Em produção, não exclua diretórios, apenas os arquivos criados para teste. echo "[+] Limpeza concluída."