ShinyHunters massenhafte Ausnutzung einer Oracle PeopleSoft Zero-Day-Lücke trifft über 100 Organisationen

ShinyHunters-Kampagne: Ausmaß und Ziele

Googles Untersuchung offenbarte eine breit angelegte und zugleich fokussierte Operation. ShinyHunters kompromittierte etwa 300 verschiedene PeopleSoft-Instanzen, verteilt auf mehr als 100 Organisationen weltweit . Die GTIG ergriff die proaktive Maßnahme, während des aktiven Ausnutzungszeitraums über 100 dieser exponierten Organisationen zu benachrichtigen .

Die Kampagne zeigte ein klares Zielmuster: 68 % der bekannten Opfer waren Einrichtungen des Hochschulsektors, hauptsächlich Colleges und Universitäten, die mehrheitlich in den USA ansässig sind .

Um dauerhaften Zugriff und Kontrolle zu behalten, installierten die Angreifer MeshCentral-Fernwartungsagenten, tarnten die Dateinamen jedoch als legitime Microsoft-Azure-Dienste mit Bezeichnungen wie meshagent64-azure-ops.exe. Auch die Command-and-Control-Infrastruktur ahmte Azure nach, indem sie die Domain azurenetfiles.net nutzte . Die gestohlenen Daten wurden schließlich am 9. Juni 2026 auf der ShinyHunters Data Leak Site (DLS) veröffentlicht .

University of Nottingham: Ein Fallbeispiel für die Auswirkungen

Die University of Nottingham wurde zum ersten öffentlich bestätigten Opfer und liefert damit ein eindrückliches Beispiel für die Folgen des Sicherheitsvorfalls. Die Universität räumte einen Cyberangriff auf ihr Studierendenverwaltungssystem ein und bestätigte, dass eine erhebliche Datenmenge im Umfang von mehreren zehn Gigabyte abgeflossen sei .

Berichten mehrerer Quellen zufolge wurden zwischen 454.600 und 500.000 persönliche und akademische Datensätze aktueller sowie ehemaliger Studierender gestohlen . Die kompromittierten Daten umfassten hauptsächlich Studierenden- und Alumni-Datensätze; die Universität stellte jedoch klar, dass Bankdaten von Mitarbeitenden und Forschungsdaten nicht Teil des Angriffs waren . Die entwendeten Daten, darunter Privatadressen, Telefonnummern und Geburtsdaten, wurden umgehend auf der Leak-Seite von ShinyHunters veröffentlicht und von „Have I Been Pwned“ indexiert .

Sofortmaßnahmen ohne vollständigen Patch

Oracle veröffentlichte am 10. Juni 2026 zwar einen außerplanmäßigen Sicherheitshinweis, doch die erste Anleitung bestand aus Workarounds und nicht aus einem vollständigen Software-Fix. Googles Threat-Intelligence-Blog empfiehlt – in Übereinstimmung mit Oracles Hinweis – folgende sofortige Schritte zum Schutz verwundbarer PeopleSoft-Instanzen :

1. EMHub-Dienst deaktivieren oder entfernen: In Multi-Server-Konfigurationen sollte der Environment Management Hub-Dienst deaktiviert werden. Bei Einzel-Server-Installationen wird empfohlen, die PSEMHUB-Anwendung vollständig zu entfernen .
2. Externen Zugriff an der Peripherie sperren: Der Zugriff auf die ausgenutzten Endpunkte, insbesondere /PSEMHUB/* und /PSIGW/HttpListeningConnector, sollte über Netzwerk-Firewalls oder Zugriffskontrolllisten (ACLs) eingeschränkt werden .
3. Zugriffsprotokolle prüfen: Sicherheitsteams sollten umgehend die PIA-WebLogic-Zugriffslogs auf POST-Anfragen an /PSEMHUB/hub und /PSIGW/HttpListeningConnector von externen IP-Adressen untersuchen, um frühere Kompromittierungen zu identifizieren .
4. Nach Web Shells suchen: Das PeopleSoft-Dateisystem sollte auf unerwartete .jsp-Dateien überprüft werden, die ein Angreifer möglicherweise platziert hat, insbesondere unter dem Pfad /webserv/applications/peoplesoft/PSEMHUB.war/ .
5. Auf Kompromittierungsindikatoren (IOCs) achten: Es sollte auf verdächtige Verzeichnisse mit den Namen logs, persistantstorage oder scratchpad innerhalb der PSEMHUB-Pfade geachtet werden. Zudem ist jeglicher ausgehender SMB-Datenverkehr von PeopleSoft-Servern kritisch zu hinterfragen, da er auf einen Datenabfluss hindeuten kann .

Diese Schritte sind wichtige Übergangsmaßnahmen. Unternehmen, die PeopleTools in den Versionen 8.61 und 8.62 einsetzen, müssen der Anwendung von Oracles offiziellem, außerplanmäßigen Sicherheitsupdate höchste Priorität einräumen, sobald dieses verfügbar ist, um das Risiko einer weiteren Ausnutzung vollständig zu beheben .