ShinyHunters націлилися на сектор освіти, використовуючи експлойт Oracle PeopleSoft
Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисник UNC6240, також відомий як ShinyHunters, веде активну кампанію з компрометації та вимагання проти середовищ Oracle PeopleSoft. Атака використовує вразливість нульового дня для віддаленого виконання коду в компоненті Environment Management для початкового доступу. Потім вони покладаються на MeshCentral для командування та управління і використовують спеціальні скрипти для підтримки латерального переміщення та крадіжки даних.
Розслідування
Mandiant та Google Threat Intelligence Group виявили кампанію через аналіз відкритих каталогів, що використовувались зловмисником. Їх розслідування виявило Python SimpleHTTP сервери, що забезпечують розміщення зловмисних агентів MeshCentral разом з артефактами історії команд. Дослідники відстежили ланцюг вторгнення від експлуатації CVE-2026-35273 до подальшого витоку даних на сайті ShinyHunters Data Leak.
Зменшення ризиків
Організації повинні негайно вимкнути службу Environment Management Hub (EMHub) або повністю видалити застосунок PSEMHUB. Оборона периметра повинна блокувати зовнішній доступ до /PSEMHUB/* and /PSIGW/HttpListeningConnector кінцевих точок. Додаткове зміцнення слід здійснювати через аудит файлів веб-рівня для виявлення несанкціонованих .jsp файлів, спостереження за підозрілими новими каталогами, і моніторинг несподіваного вихідного трафіку SMB.
Реакція
Якщо є підозра на компрометацію, організації повинні обмежити доступ до вразливих точок PeopleSoft і переглянути журнали доступу WebLogic на підозрілу POST-активність. Судмедекспертні команди повинні перевірити каталоги PSEMHUB на наявність несанкціонованих файлів і перевірити на стійкість на основі XMLDecoder. Також слід включити вихідний моніторинг на порт 445 для виявлення можливих спроб захоплення хешу NTLM.
graph TB %% Визначення класів classDef action fill:#99ccff classDef tool fill:#cccccc classDef vulnerability fill:#ff9999 classDef file fill:#ccffcc %% Етап початкового доступу vuln_psemhub[“<b>Вразливість</b><br/>CVE-2026-35273<br/>Експлуатація компонента<br/>Oracle PeopleSoft Environment Management (PSEMHUB)”] class vuln_psemhub vulnerability action_initial_access[“<b>Дія</b> – T1210: Експлуатація віддалених служб<br/><b>Опис</b>: Використання zero-day RCE вразливості<br/>у PSEMHUB для отримання початкового доступу.”] class action_initial_access action %% Етап командування та керування tool_meshcentral[“<b>Інструмент</b> – MeshCentral<br/><b>Опис</b>: Сервер віддаленого керування,<br/>який використовується для розгортання C2.<br/><b>Тип</b>: Інструмент віддаленого доступу”] class tool_meshcentral tool tool_acme_client[“<b>Інструмент</b> – acme-client (npm пакет)<br/><b>Опис</b>: Автоматизує створення SSL-сертифікатів<br/>для маскувального домену azurenetfiles.net.”] class tool_acme_client tool file_meshagent[“<b>Файл</b> – meshagent64-azure-ops.exe<br/><b>Опис</b>: Модифікований Windows-агент MeshCentral,<br/>який забезпечує віддалене керування.”] class file_meshagent file %% Етап розвідки action_recon[“<b>Дія</b> – T1082: Виявлення системної інформації<br/><b>Опис</b>: Аналіз конфігурацій Oracle PeopleSoft<br/>та перевірка мережевих підключень.”] class action_recon action tool_meshctrl[“<b>Інструмент</b> – meshctrl.js<br/><b>Опис</b>: Командний інструмент MeshCentral,<br/>який використовується для розвідки.”] class tool_meshctrl tool file_config_files[“<b>Цільові файли</b><br/>psappsrv.cfg та WebLogic config.xml<br/>використовуються для аналізу конфігурацій.”] class file_config_files file %% Етап латерального переміщення action_lateral[“<b>Дія</b> – T1110.003: Brute Force: Password Spraying<br/><b>Опис</b>: Виконання розпилення SSH-облікових даних<br/>проти внутрішніх хостів.”] class action_lateral action script_fanout[“<b>Файл/Скрипт</b> – [victim_abbreviation]_fanout.sh<br/><b>Опис</b>: Спеціальний Bash-скрипт для розпилення<br/>облікових даних та поширення файлів вимагання.”] class script_fanout file file_extort[“<b>Файл</b> – README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT<br/><b>Опис</b>: Файл-маркер компрометації,<br/>дефейсу та вимагання.”] class file_extort file %% Етап ексфільтрації action_exfil[“<b>Дія</b> – T1560: Архівування зібраних даних<br/><b>Опис</b>: Стиснення викрадених даних<br/>перед ексфільтрацією.”] class action_exfil action tool_zstd[“<b>Інструмент</b> – zstd<br/><b>Опис</b>: Утиліта для стиснення каталогів,<br/>підготовлених до ексфільтрації.”] class tool_zstd tool %% Зв’язки vuln_psemhub –>|експлуатується_через| action_initial_access action_initial_access –>|створює_C2| tool_meshcentral tool_meshcentral –>|використовує| tool_acme_client tool_meshcentral –>|розгортає| file_meshagent tool_meshcentral –>|забезпечує| action_recon action_recon –>|використовує| tool_meshctrl action_recon –>|аналізує| file_config_files action_recon –>|призводить_до| action_lateral action_lateral –>|виконує| script_fanout script_fanout –>|поширює| file_extort script_fanout –>|призводить_до| action_exfil action_exfil –>|використовує| tool_zstd
Потік атаки
Виявлення
Можлива спроба інсталяції програмного забезпечення RMM Mesh Agent (через подію реєстру)
Перегляд
Можлива спроба використання утиліти MeshAgent (через створення процесу)
Перегляд
Скрипт Linux було створено в тимчасових папках (через подію файлу)
Перегляд
ІСО (HashSha256) для виявлення: ShinyHunters націлюється на освітній сектор з експлойтом Oracle PeopleSoft
Перегляд
ІСО (SourceIP) для виявлення: ShinyHunters націлюється на освітній сектор з експлойтом Oracle PeopleSoft
Перегляд
ІСО (DestinationIP) для виявлення: ShinyHunters націлюється на освітній сектор з експлойтом Oracle PeopleSoft
Перегляд
Виявлення скрипту розповсюдження ShinyHunters та маркера дефейсменту [Подія файлової системи Linux]
Перегляд
Виявлення експлуатації Oracle PeopleSoft PSEMHUB зловмисниками ShinyHunters [Вебсервер]
Перегляд
Виконання симуляції
Передумова: Телеметрія та перевірка базових показників повинні бути успішними.
Обґрунтування: Цей розділ детально описує точне виконання техніки супротивника (TTP), спроектованої для того, щоб викликати правило виявлення. Команди та наратив МАЮТЬ безпосередньо відповідати на ідентифіковані TTP і мають на меті генерувати точну телеметрію, яку очікує логіка виявлення. Абстрактні або не пов’язані приклади призведуть до неправильної діагностики.
-
Розповідь атаки й команди: Супротивник має на меті використати вразливість Oracle PeopleSoft для отримання несанкціонованого доступу або підвищення привілеїв. Спершу вони проводять розвідку, надсилаючи POST-запити до
PSEMHUB/hubдля виявлення доступності сервісу. По-друге, вони намагаються завантажити веб-шелл, записуючи зловмисний.jspфайл у директоріюPSEMHUB.war, спеціально націлюючись на шляхenvmetadata/transactions/для приховування своєї активності в межах легітимно виглядаючих структур метаданих додатків. -
Сценарій регресійного тестування:
#!/bin/bash # Сценарій симуляції для експлуатації Oracle PeopleSoft PSEMHUB echo "[+] Запуск симуляції..." # 1. Тригер вибірки запитів веб-сервісу (HTTP POST) echo "[+] Крок 1: Відправка зловмисних POST-запитів..." curl -X POST "http://localhost/PSEMHUB/hub" -d "cmd=exploit" curl -X POST "http://localhost/PSIGW/HttpListeningConnector" -d "cmd=exploit" # 2. Тригер вибірки операцій файлової системи (Створення файлів) echo "[+] Крок 2: Створення зловмисних файлів .jsp в цільових директоріях..." # Переконайтеся, що директорія існує для симуляції (в реальному тесті це ціль) mkdir -p /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/ # Створіть зловмисний JSP файл echo "<% out.println("Exploited"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp # Створіть інший .jsp файл у директорії war для тестування узгодження шаблону echo "<% out.println("Malicious"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp echo "[+] Симуляція завершена. Перевірте SIEM для отримання попереджень." -
Команди очистки:
#!/bin/bash # Команди очистки echo "[+] Очищення артефактів симуляції..." rm -f /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp rm -f /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp # Зверніть увагу: у виробництві не видаляйте директорії, лише файли, створені для тестування. echo "[+] Очищення завершено."