- Автор темы
- #1
Группировка ShinyHunters воспользовалась критической уязвимостью нулевого дня в Oracle PeopleSoft (CVE-2026-35273) и атаковала организации по всему миру. По данным специалистов Google и Mandiant, с конца мая хакеры активно эксплуатировали проблему, в итоге скомпрометировав более 100 организаций и похитив данные из 300 инстансов PeopleSoft. Больше всего от этой кампании пострадали образовательные учреждения.
PeopleSoft представляет собой популярное ERP-решение, которое используют крупные компании, государственные структуры и учебные заведения для управления кадровыми процессами, зарплатами, финансами, закупками и данными студентов или сотрудников.
Уязвимость CVE-2026-35273 получила 9,8 балла по шкале CVSS и позволяет удаленно выполнить код без аутентификации через HTTP. Проблема затрагивает Oracle PeopleSoft PeopleTools версий 8.61 и 8.62.
Сначала в Oracle ограничились публикацией рекомендаций по защите и не подтвердили, что баг уже использовался в реальных атаках. При этом в компании призвали клиентов немедленно внедрить предложенные меры для снижения рисков и пообещали в скором времени выпустить полноценный патч. Позже в компании признали, что обнаружены признаки ограниченной эксплуатации бага.
Об атаках на уязвимость в PeopleSoft стало известно после того, как жертвы начали получать записки с требованиями выкупа, подписанные ShinyHunters. В итоге сами злоумышленники сообщили журналистам о своей причастности к атакам и заявили, что скомпрометировали свыше 300 инстансов PeopleSoft, принадлежащих более чем 100 организациям.
По словам хакеров, для атак использовалась цепочка из старых и ранее неизвестных уязвимостей, причем успех атаки зависел от конфигурации конкретной системы.
Первой публично подтвержденной жертвой этой кампании стал Ноттингемский университет (University of Nottingham). ShinyHunters утверждают, что похитили у учебного заведения около 40 Гбайт данных, включая персональную информацию и платежные данные сотен тысяч нынешних и бывших студентов.
Данные аналитиков Google Threat Intelligence Group и Mandiant в целом подтверждают заявления злоумышленников. Исследователи пишут, что зафиксировали эксплуатацию CVE-2026-35273 в период с 27 мая по 9 июня и уведомили о проблеме более 100 организаций, чьи IP-адреса были связаны с потенциально уязвимыми системами. Большинство этих организаций находятся в США, а около 68% относятся к образовательному сектору.
По информации исследователей, для управления зараженными системами хакеры использовали модифицированные агенты MeshCentral, замаскированные под легитимные сервисы Microsoft Azure. После получения доступа злоумышленники проводили разведку внутри сети, изучали конфигурации PeopleSoft и Oracle WebLogic, а затем перемещались по инфраструктуре с помощью похищенных или найденных жестко закодированных учетных данных.
Скрипт ShinyHunters
ИБ-исследователь под псевдонимом Michael R также обнаружил открытые директории с инструментами атакующих. Среди прочего в них были найдены скрипты для дефейса систем, перебора учетных данных и автоматического размещения записок с требованиями выкупа на серверах PeopleSoft.
Специалисты Mandiant рекомендуют организациям ограничить доступ к уязвимым установкам PeopleSoft, проверить логи на подозрительные обращения к компонентам /PSEMHUB/ и /PSIGW/HttpListeningConnector, а также искать признаки компрометации, включая веб-шеллы, посторонние файлы в каталогах приложения и недавно измененные XML-файлы.
PeopleSoft представляет собой популярное ERP-решение, которое используют крупные компании, государственные структуры и учебные заведения для управления кадровыми процессами, зарплатами, финансами, закупками и данными студентов или сотрудников.
Уязвимость CVE-2026-35273 получила 9,8 балла по шкале CVSS и позволяет удаленно выполнить код без аутентификации через HTTP. Проблема затрагивает Oracle PeopleSoft PeopleTools версий 8.61 и 8.62.
Сначала в Oracle ограничились публикацией рекомендаций по защите и не подтвердили, что баг уже использовался в реальных атаках. При этом в компании призвали клиентов немедленно внедрить предложенные меры для снижения рисков и пообещали в скором времени выпустить полноценный патч. Позже в компании признали, что обнаружены признаки ограниченной эксплуатации бага.
Об атаках на уязвимость в PeopleSoft стало известно после того, как жертвы начали получать записки с требованиями выкупа, подписанные ShinyHunters. В итоге сами злоумышленники сообщили журналистам о своей причастности к атакам и заявили, что скомпрометировали свыше 300 инстансов PeopleSoft, принадлежащих более чем 100 организациям.
По словам хакеров, для атак использовалась цепочка из старых и ранее неизвестных уязвимостей, причем успех атаки зависел от конфигурации конкретной системы.
Первой публично подтвержденной жертвой этой кампании стал Ноттингемский университет (University of Nottingham). ShinyHunters утверждают, что похитили у учебного заведения около 40 Гбайт данных, включая персональную информацию и платежные данные сотен тысяч нынешних и бывших студентов.
Данные аналитиков Google Threat Intelligence Group и Mandiant в целом подтверждают заявления злоумышленников. Исследователи пишут, что зафиксировали эксплуатацию CVE-2026-35273 в период с 27 мая по 9 июня и уведомили о проблеме более 100 организаций, чьи IP-адреса были связаны с потенциально уязвимыми системами. Большинство этих организаций находятся в США, а около 68% относятся к образовательному сектору.
По информации исследователей, для управления зараженными системами хакеры использовали модифицированные агенты MeshCentral, замаскированные под легитимные сервисы Microsoft Azure. После получения доступа злоумышленники проводили разведку внутри сети, изучали конфигурации PeopleSoft и Oracle WebLogic, а затем перемещались по инфраструктуре с помощью похищенных или найденных жестко закодированных учетных данных.
Скрипт ShinyHuntersИБ-исследователь под псевдонимом Michael R также обнаружил открытые директории с инструментами атакующих. Среди прочего в них были найдены скрипты для дефейса систем, перебора учетных данных и автоматического размещения записок с требованиями выкупа на серверах PeopleSoft.
Специалисты Mandiant рекомендуют организациям ограничить доступ к уязвимым установкам PeopleSoft, проверить логи на подозрительные обращения к компонентам /PSEMHUB/ и /PSIGW/HttpListeningConnector, а также искать признаки компрометации, включая веб-шеллы, посторонние файлы в каталогах приложения и недавно измененные XML-файлы.