SOC Prime Bias: Критичний

16 Jun 2026 13:03 UTC

ShinyHunters націлилися на сектор освіти, використовуючи експлойт Oracle PeopleSoft

Author Photo
SOC Prime Team linkedin icon Стежити
ShinyHunters націлилися на сектор освіти, використовуючи експлойт Oracle PeopleSoft
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Зловмисник UNC6240, також відомий як ShinyHunters, веде активну кампанію з компрометації та вимагання проти середовищ Oracle PeopleSoft. Атака використовує вразливість нульового дня для віддаленого виконання коду в компоненті Environment Management для початкового доступу. Потім вони покладаються на MeshCentral для командування та управління і використовують спеціальні скрипти для підтримки латерального переміщення та крадіжки даних.

Розслідування

Mandiant та Google Threat Intelligence Group виявили кампанію через аналіз відкритих каталогів, що використовувались зловмисником. Їх розслідування виявило Python SimpleHTTP сервери, що забезпечують розміщення зловмисних агентів MeshCentral разом з артефактами історії команд. Дослідники відстежили ланцюг вторгнення від експлуатації CVE-2026-35273 до подальшого витоку даних на сайті ShinyHunters Data Leak.

Зменшення ризиків

Організації повинні негайно вимкнути службу Environment Management Hub (EMHub) або повністю видалити застосунок PSEMHUB. Оборона периметра повинна блокувати зовнішній доступ до /PSEMHUB/* and /PSIGW/HttpListeningConnector кінцевих точок. Додаткове зміцнення слід здійснювати через аудит файлів веб-рівня для виявлення несанкціонованих .jsp файлів, спостереження за підозрілими новими каталогами, і моніторинг несподіваного вихідного трафіку SMB.

Реакція

Якщо є підозра на компрометацію, організації повинні обмежити доступ до вразливих точок PeopleSoft і переглянути журнали доступу WebLogic на підозрілу POST-активність. Судмедекспертні команди повинні перевірити каталоги PSEMHUB на наявність несанкціонованих файлів і перевірити на стійкість на основі XMLDecoder. Також слід включити вихідний моніторинг на порт 445 для виявлення можливих спроб захоплення хешу NTLM.

Потік атаки

Виявлення

Можлива спроба інсталяції програмного забезпечення RMM Mesh Agent (через подію реєстру)

Команда SOC Prime
16 червня 2026

Можлива спроба використання утиліти MeshAgent (через створення процесу)

Команда SOC Prime
16 червня 2026

Скрипт Linux було створено в тимчасових папках (через подію файлу)

Команда SOC Prime
16 червня 2026

ІСО (HashSha256) для виявлення: ShinyHunters націлюється на освітній сектор з експлойтом Oracle PeopleSoft

Правила SOC Prime AI
16 червня 2026

ІСО (SourceIP) для виявлення: ShinyHunters націлюється на освітній сектор з експлойтом Oracle PeopleSoft

Правила SOC Prime AI
16 червня 2026

ІСО (DestinationIP) для виявлення: ShinyHunters націлюється на освітній сектор з експлойтом Oracle PeopleSoft

Правила SOC Prime AI
16 червня 2026

Виявлення скрипту розповсюдження ShinyHunters та маркера дефейсменту [Подія файлової системи Linux]

Правила SOC Prime AI
16 червня 2026

Виявлення експлуатації Oracle PeopleSoft PSEMHUB зловмисниками ShinyHunters [Вебсервер]

Правила SOC Prime AI
16 червня 2026

Виконання симуляції

Передумова: Телеметрія та перевірка базових показників повинні бути успішними.

Обґрунтування: Цей розділ детально описує точне виконання техніки супротивника (TTP), спроектованої для того, щоб викликати правило виявлення. Команди та наратив МАЮТЬ безпосередньо відповідати на ідентифіковані TTP і мають на меті генерувати точну телеметрію, яку очікує логіка виявлення. Абстрактні або не пов’язані приклади призведуть до неправильної діагностики.

  • Розповідь атаки й команди: Супротивник має на меті використати вразливість Oracle PeopleSoft для отримання несанкціонованого доступу або підвищення привілеїв. Спершу вони проводять розвідку, надсилаючи POST-запити до PSEMHUB/hub для виявлення доступності сервісу. По-друге, вони намагаються завантажити веб-шелл, записуючи зловмисний .jsp файл у директорію PSEMHUB.war , спеціально націлюючись на шлях envmetadata/transactions/ для приховування своєї активності в межах легітимно виглядаючих структур метаданих додатків.

  • Сценарій регресійного тестування:

    #!/bin/bash
    # Сценарій симуляції для експлуатації Oracle PeopleSoft PSEMHUB
    
    echo "[+] Запуск симуляції..."
    
    # 1. Тригер вибірки запитів веб-сервісу (HTTP POST)
    echo "[+] Крок 1: Відправка зловмисних POST-запитів..."
    curl -X POST "http://localhost/PSEMHUB/hub" -d "cmd=exploit"
    curl -X POST "http://localhost/PSIGW/HttpListeningConnector" -d "cmd=exploit"
    
    # 2. Тригер вибірки операцій файлової системи (Створення файлів)
    echo "[+] Крок 2: Створення зловмисних файлів .jsp в цільових директоріях..."
    
    # Переконайтеся, що директорія існує для симуляції (в реальному тесті це ціль)
    mkdir -p /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/
    
    # Створіть зловмисний JSP файл
    echo "<% out.println("Exploited"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp
    
    # Створіть інший .jsp файл у директорії war для тестування узгодження шаблону
    echo "<% out.println("Malicious"); %>" > /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp
    
    echo "[+] Симуляція завершена. Перевірте SIEM для отримання попереджень."
  • Команди очистки:

    #!/bin/bash
    # Команди очистки
    
    echo "[+] Очищення артефактів симуляції..."
    rm -f /webserv/applications/peoplesoft/PSEMHUB.war/envmetadata/transactions/shell.jsp
    rm -f /webserv/applications/peoplesoft/PSEMHUB.war/malicious.jsp
    # Зверніть увагу: у виробництві не видаляйте директорії, лише файли, створені для тестування.
    echo "[+] Очищення завершено."