هاكرز ShinyHunters يستغلون ثغرة صفرية خطيرة في Oracle PeopleSoft لاختراق أكثر من 100 مؤسسة عالميًا

نجاح استغلال الثغرة يمكن أن يؤدي إلى سيطرة كاملة على خادم PeopleSoft، مما يمنح المخترق صلاحيات مطلقة للتجسس على البيانات (السرية)، وتعديلها (السلامة)، وتعطيل النظام بالكامل (التوفر) .

أرجعت شركة أوراكل الفضل في اكتشاف الثغرة لباحثين من TrendAI Zero Day Initiative و TrendAI Research . التركيبة الخطيرة لهذه الثغرة - كونها قابلة للاستغلال عبر الشبكة، بتعقيد منخفض، دون مصادقة أو تفاعل من المستخدم - جعلتها هدفًا رئيسيًا للهجمات الواسعة منذ اللحظة التي علم بها المخترقون.

كيف تكشف الهجوم: جدول زمني قبل التصحيح

بحسب تحقيقات شركة Mandiant (التابعة لجوجل)، تُنسب الحملة إلى مجموعة تتعقبها باسم UNC6240، والمعروفة عالميًا باسم ShinyHunters.

حددت Mandiant أن فترة الاستغلال النشط امتدت من 27 مايو 2026 إلى 9 يونيو 2026، أي قبل إصدار التحديث . لأن أوراكل لم تنشر تحذيرها الأمني أو التصحيح الرسمي إلا في 10 يونيو 2026، بقيت الثغرة دون علاج طوال فترة الهجوم . خلال هذه المدة، قام المهاجمون بمسح شامل للإنترنت بحثًا عن أنظمة PeopleSoft المكشوفة، واستخدموا الثغرة كنقطة دخول أولية للخوادم غير المحدثة.

بمجرد الولوج، تحرك المخترقون داخل الشبكات المخترقة. لاحظ خبراء الأمن في شركة Field Effect أن المهاجمين دمجوا استغلال CVE-2026-35273 مع تقنيات قائمة على سرقة كلمات المرور وربما ثغرات أخرى لتعظيم حجم الاختراق وتحديد أماكن تخزين البيانات القيّمة . هذًا الأسلوب متعدد المراحل مكّن ShinyHunters من سرقة كميات بيانات أكبر بكثير مما توفره هجمات "الكر والفر" البسيطة.

بعد سحب البيانات، اتبعت المجموعة أسلوبها المعتاد: طلبوا فدى مالية من الضحايا، مهددين بنشر البيانات المسروقة إن لم تُدفع . هذا التكتيك القائم على الابتزاز أولاً، وليس نشر برامج الفدية، هو سمة مميزة لعمليات ShinyHunters.

ما هي البيانات التي سُرقت؟

تنوعت البيانات المسروقة باختلاف المؤسسات المستهدفة، لكن عدة فئات ذات قيمة عالية تكررت عبر الحالات المخترقة:

• معلومات تحديد الهوية الشخصية (PII) للطلاب وأعضاء هيئة التدريس والموظفين .
• السجلات الأكاديمية وبيانات التسجيل والمساعدات المالية، مما يعكس التركيز الكبير على قطاع التعليم .
• بيانات الموارد البشرية والرواتب من أنظمة PeopleSoft في المؤسسات، بما في ذلك المزايا ومعلومات الأجور .
• ملفات إعدادات النظام الداخلية وبيانات المصادقة التي استخدمها المهاجمون للتحرك جانبيًا داخل البيئات المخترقة .

يعكس هذا التنوع دور PeopleSoft كنظام مركزي لتخطيط الموارد يُجمع بيانات حساسة من أقسام الموارد البشرية والمالية والعمليات الجامعية . اختراق واحد قادر على كشف سنوات من السجلات الشخصية والمؤسسية.

استجابة أوراكل الطارئة

في العاشر من يونيو 2026، خرجت أوراكل عن دورتها الربع سنوية المعتادة للتحديثات ونشرت تحذيرًا أمنيًا خارج الجدول المعتاد بخصوص CVE-2026-35273 . أصدرت الشركة تحديثات للإصدارين 8.61 و 8.62 من PeopleTools في نفس اليوم، وهي خطوة عاجلة تعكس حجم الاستغلال النشط والواسع .

جاء تحذير أوراكل صريحًا: "هذه الثغرة قابلة للاستغلال عن بُعد دون مصادقة. إذا تم استغلالها بنجاح، فقد تؤدي لتنفيذ أوامر عن بُعد." كما حثت جميع العملاء على تثبيت التحديث كإجراء "عالي الأولوية للحد من المخاطر" .

وكالة الأمن السيبراني الأمريكية تدق ناقوس الخطر

بعد يومين من تحذير أوراكل، وتحديدًا في 12 يونيو 2026، أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) الثغرة CVE-2026-35273 إلى فهرس الثغرات المعروفة والمستغلة (KEV) لديها . هذا الإدراج فرض مواعيد نهائية إلزامية للتصحيح على الوكالات الفيدرالية الأمريكية، وكان بمثابة إشارة إنذار قوية لكل المؤسسات العامة والخاصة بأن الخطر نشط وواسع النطاق.

كذلك أصدر المركز الكندي للأمن السيبراني (Cyber Centre) تحذيره رقم AV26-587 في 11 يونيو، محذرًا من الاستغلال النشط وموجهًا المسؤولين للرجوع فورًا لإرشادات أوراكل . يعكس هذا التنسيق الحكومي مدى خطورة الحادث وحجمه.

خطوات عاجلة للحماية

بناءً على توجيهات أوراكل وCISA وRapid7 وغيرها من شركات الأمن، يجب على المؤسسات التي تستخدم PeopleSoft اتخاذ الإجراءات التالية دون تأخير:

1. تثبيت تحديث أوراكل الطارئ للإصدارين 8.61 و 8.62 فورًا .
2. التحقق من الإصدارات غير المدعومة. إذا كان نظامك يعمل بإصدار خارج نطاق التصحيح، خطط لترقية طارئة لإصدار مدعوم قبل التثبيت.
3. إجراء مراجعة جنائية لخوادم تطبيقات وقواعد بيانات PeopleSoft للبحث عن دلائل وجود أبواب خلفية (ثغرات ويب)، أو برمجيات نصية غير مصرح بها، أو أدوات لسرقة كلمات المرور .
4. تغيير جميع كلمات المرور المخزنة داخل أو التي يمكن الوصول إليها من بيئة PeopleSoft، بما في ذلك حسابات الخدمات وسلاسل اتصال قواعد البيانات .
5. تقييد الوصول الشبكي لواجهات HTTP/HTTPS لنظام PeopleSoft (المنفذين 80 و 443) من الإنترنت حيثما أمكن، أو وضعها خلف شبكة افتراضية خاصة (VPN) .
6. مراقبة نقل البيانات الصادرة غير الاعتيادية من خوادم PeopleSoft - فالنقل بكميات كبيرة إلى عناوين IP خارجية غير مألوفة يُعد مؤشرًا قويًا على تسريب البيانات .

مؤشرات الاختراق (IoCs)

لا تزال مؤشرات الاختراق المنشورة تتطور مع استمرار التحقيقات، غير أن عدة فئات برزت من التقارير الأولية:

• طلبات HTTP غير مصرح بها تستهدف نهاية مكون "إدارة بيئة التحديثات" في PeopleTools .
• وجود ثغرات ويب (Web Shells) أو ملفات برمجية غريبة على خوادم تطبيقات PeopleSoft .
• أحداث مصادقة غير اعتيادية من عناوين IP غير مألوفة أو حسابات خدمة نادرًا ما تُستخدم لتسجيل الدخول .
• نقل كميات كبيرة من البيانات صادرة من خوادم قواعد بيانات PeopleSoft إلى جهات خارجية .
• حسابات خدمة جديدة أو مهام مجدولة تم إنشاؤها على الخوادم المخترقة .

كما نُشرت عناوين IP محددة يتحكم بها المهاجمون، حيث أفادت شركة Pathlock برصد اتصالات من النطاقات 142.11.200.186–190 و 108.174.202.99 و 176.120.22.24، إضافة لملف فدية باسم README-IF-... ينبغي على المؤسسات البحث عنه في سجلاتها .

ShinyHunters والقطاع التعليمي: نمط متكرر

هذه الحملة ليست حدثًا استثنائيًا بالنسبة لـ ShinyHunters. فالمجموعة لديها تفضيل موثق لاستهداف المؤسسات التعليمية، بدافع عدة عوامل استراتيجية:

• مجموعات بيانات غنية ومجمعة: تدير الجامعات والمعاهد أنظمة PeopleSoft ضخمة تجمع عقودًا من السجلات الشخصية والأكاديمية والمالية لمئات الآلاف من الأشخاص .
• دورات تصحيح بطيئة: غالبًا ما تشغل مؤسسات التعليم العالي بيئات PeopleSoft مخصصة بشكل كبير، مع تحديثات غير منتظمة ومتأخرة، مما يجعلها أهدافًا سهلة لأي ثغرة يتم تحويلها لسلاح .
• الابتزاز لا الفدية: تركز ShinyHunters على سرقة البيانات والابتزاز بدلاً من نشر برامج الفدية (Ransomware)، وهو نموذج يحقق عوائد عالية عندما تكون البيانات المسروقة حساسة بما يكفي لفرض دفع الفدى .
• المسح الجماعي الانتهازي: تقوم المجموعة بمسح شامل لقطاعات كاملة بدلاً من استهداف ضحايا محددين ذوي قيمة عالية، وهي تقنية تزيد من عدد الضحايا عند ظهور ثغرة خطيرة مثل CVE-2026-35273 .

تأتي حملة يونيو 2026 في أعقاب هجمات سابقة لـ ShinyHunters على جامعات ومنصات تقنية تعليمية، سرقوا فيها ملايين السجلات وباعوها في منتديات الويب المظلم. اجتماع ثغرة "يوم صفر" في PeopleTools مع قطاع ضحايا يعاني فجوات أمنية دائمة أثبت أنه كان تركيبة مدمرة وفعّالة.

بالنسبة للمؤسسات التي لا تزال تقيم مدى تعرضها للخطر، الأولوية الفورية هي التصحيح. بعيدًا عن ذلك، يُعد هذا الحادث تذكيرًا بأن منصات تخطيط الموارد الكبيرة تحتاج لنفس مستويات الدفاع والمراقبة وسرعة الاستجابة المطبقة على أي خدمة حيوية معرضة للإنترنت.