Školství jako hlavní terč: Jak skupina ShinyHunters zneužila kritickou chybu Oracle PeopleSoft

Kampaň ShinyHunters: Rozsah a cíle

Vyšetřování společnosti Google odhalilo široce zacílenou operaci. Skupina ShinyHunters kompromitovala přibližně 300 samostatných instancí PeopleSoft ve více než 100 organizacích po celém světě . Bezpečnostní tým GTIG podnikl proaktivní krok a během probíhajícího zneužívání kontaktoval více než 100 z těchto ohrožených organizací .

Kampaň vykazovala jasný vzorec. 68 % známých obětí tvořily subjekty ze sektoru vysokého školství, především vysoké školy a univerzity, přičemž většina z nich sídlila ve Spojených státech .

Pro udržení přístupu a kontroly nad napadenými systémy útočníci nasadili agenty pro vzdálenou správu MeshCentral, ale maskovali jejich názvy za legitimní služby Microsoft Azure. Používali názvy souborů jako meshagent64-azure-ops.exe. Infrastruktura pro řízení a ovládání (C2) se dále vydávala za Azure díky doméně azurenetfiles.net . Ukradená data byla později, 9. června 2026, zveřejněna na stránkách ShinyHunters pro únik dat (DLS) .

Univerzita v Nottinghamu: Případová studie následků

První veřejně potvrzenou obětí se stala Univerzita v Nottinghamu, která poskytla ilustrativní příklad tvrdých následků útoku. Univerzita uznala kybernetický incident, jenž zasáhl její systém studentských záznamů. Potvrdila, že došlo k odcizení značného množství dat v řádu desítek gigabytů .

Zprávy z několika zdrojů naznačují, že bylo ukradeno 454 600 až 500 000 osobních a studijních záznamů současných i bývalých studentů . Kompromitovaná data se týkala hlavně studentských a absolventských záznamů, ale univerzita zdůraznila, že bankovní údaje zaměstnanců a výzkumná data nebyla součástí úniku . Ukradená data, která zahrnovala domácí adresy, telefonní čísla a data narození, byla rychle zveřejněna na stránkách ShinyHunters a indexována službou "Have I Been Pwned" .

Okamžitá zmírnění bez oficiální záplaty

Přestože Oracle vydal 10. června 2026 mimořádné bezpečnostní upozornění, první pokyny se skládaly spíše z náhradních řešení než z úplné softwarové opravy. Blog společnosti Google o hrozbách ve shodě s pokyny Oracle doporučuje organizacím, aby pro ochranu zranitelných instancí PeopleSoft neprodleně podnikly následující kroky :

1. Zakažte nebo odstraňte službu EMHub: Ve více serverových konfiguracích by organizace měly deaktivovat službu Environment Management Hub. V konfiguracích s jedním serverem se doporučuje aplikaci PSEMHUB zcela odstranit .
2. Blokujte externí přístup na perimetru: Pomocí síťových firewallů nebo přístupových seznamů omezte přístup ke zneužitým endpointům, konkrétně /PSEMHUB/* a /PSIGW/HttpListeningConnector .
3. Auditujte přístupové logy: Bezpečnostní týmy by měly okamžitě zkontrolovat přístupové logy PIA WebLogic a hledat POST požadavky na /PSEMHUB/hub a /PSIGW/HttpListeningConnector přicházející z externích IP adres, aby identifikovaly případnou starší kompromitaci .
4. Hledejte webové shelly: Prohledejte souborový systém PeopleSoft a hledejte neočekávané .jsp soubory, které tam mohl útočník umístit, obzvláště v cestě /webserv/applications/peoplesoft/PSEMHUB.war/ .
5. Monitorujte indikátory kompromitace (IOC): Sledujte přítomnost podezřelých adresářů pojmenovaných logs, persistantstorage nebo scratchpad v cestách PSEMHUB. Dále zkoumejte jakýkoli odchozí SMB provoz ze serverů PeopleSoft, který by mohl indikovat exfiltraci dat .

Tyto kroky jsou kritickým provizorním opatřením. Organizace provozující PeopleTools verze 8.61 a 8.62 musí, jakmile bude k dispozici, prioritně aplikovat oficiální mimořádnou bezpečnostní aktualizaci od Oracle, aby plně napravily riziko dalšího zneužívání .