קמפיין ניצול אפס-יום של ShinyHunters פגע במעל 100 ארגונים דרך Oracle PeopleSoft – מגזר ההשכלה הגבוהה ספג את המכה הקשה ביותר

קמפיין ShinyHunters: היקף ומיקוד

חקירת Google חשפה מבצע רחב וממוקד. ShinyHunters פרצו לכ-300 שרתי PeopleSoft נפרדים הפרוסים ביותר מ-100 ארגונים ברחבי העולם . GTIG נקטה צעד יזום והודיעה למעל 100 מהארגונים החשופים הללו במהלך חלון הניצול הפעיל .

הקמפיין הציג דפוס מיקוד ברור. 68% מהקורבנות הידועים היו גופים במגזר ההשכלה הגבוהה, בעיקר מכללות ואוניברסיטאות, כאשר רובן מבוססות בארצות הברית .

כדי לשמור על דריסת רגל ושליטה במערכות, התוקפים הפיצו סוכני ניהול מרחוק של MeshCentral, אך הסוו את שמות הקבצים כשירותי Microsoft Azure לגיטימיים, תוך שימוש בשמות כמו meshagent64-azure-ops.exe. תשתית השליטה והבקרה (C2) חיקתה אף היא את Azure באמצעות הדומיין azurenetfiles.net . המידע הגנוב פורסם מאוחר יותר באתר הדלפות המידע (DLS) של ShinyHunters ב-9 ביוני 2026 .

אוניברסיטת נוטינגהאם: מקרה מבחן להשפעה

אוניברסיטת נוטינגהאם הפכה לקורבן המאומת הראשון, והמחישה בצורה חדה את ההשלכות של הפריצה. האוניברסיטה אישרה אירוע סייבר שפגע במערכת רישומי הסטודנטים שלה, ואישרה כי כמות משמעותית של מידע, בהיקף של עשרות ג'יגה-בייטים, נגישה על ידי התוקפים .

דיווחים ממספר מקורות מצביעים על כך שבין 454,600 ל-500,000 רשומות אישיות ואקדמיות השייכות לסטודנטים בהווה ובעבר נגנבו . המידע שנפרץ כלל בעיקר רשומות של סטודנטים ובוגרים, אך האוניברסיטה ציינה כי פרטי חשבונות בנק של סגל ומידע מחקרי לא היו חלק מהפריצה . המידע הגנוב, שכלל פרטים כמו כתובות מגורים, מספרי טלפון ותאריכי לידה, פורסם במהירות באתר ההדלפות של ShinyHunters ואונדקס על ידי שירות "Have I Been Pwned" .

פעולות מנע ללא טלאי תוכנה

בעוד ש-Oracle פרסמה התראת אבטחה חריגה ב-10 ביוני 2026, ההנחיות הראשוניות כללו פתרונות עקיפה (workarounds) ולא תיקון תוכנה מלא. בלוג מודיעין האיומים של Google, בהתאם להמלצת Oracle, ממליץ לארגונים לנקוט בצעדים המיידיים הבאים כדי להגן על שרתי PeopleSoft פגיעים :

1. השבת או הסר את שירות EMHub: בתצורות ריבוי-שרתים, על ארגונים להשבית את שירות Environment Management Hub. בפריסות של שרת יחיד, ההמלצה היא להסיר לחלוטין את אפליקציית PSEMHUB .
2. חסום גישה חיצונית בהיקף הרשת: הגבל את הגישה לנקודות הקצה שנוצלו, במיוחד /PSEMHUB/* ו-/PSIGW/HttpListeningConnector, באמצעות חומות אש רשתיות או רשימות בקרת גישה .
3. ביקורת יומני גישה: צוותי אבטחה צריכים לבדוק מיד את יומני הגישה של PIA WebLogic לאיתור בקשות POST לנתיבים /PSEMHUB/hub ו-/PSIGW/HttpListeningConnector שמקורן בכתובות IP חיצוניות, כדי לזהות פגיעות היסטוריות .
4. חיפוש Web Shells: בדוק את מערכת הקבצים של PeopleSoft לאיתור קבצי JSP בלתי צפויים שהתוקף עלול היה לשתול, במיוחד בנתיב /webserv/applications/peoplesoft/PSEMHUB.war/ .
5. ניטור אחר סממני פגיעה (IOCs): עקוב אחר נוכחותן של תיקיות חשודות בשם logs,‏ persistantstorage, או scratchpad בנתיבי PSEMHUB. בנוסף, בדוק בקפידה כל תעבורת SMB יוצאת משרתי PeopleSoft, העלולה להעיד על הוצאת מידע .

צעדים אלה הם אמצעי ביניים קריטיים. ארגונים המריצים את גרסאות PeopleTools 8.61 ו-8.62 חייבים לתעדף את התקנת עדכון האבטחה החריג הרשמי של Oracle לכשיהיה זמין, כדי לתקן באופן מלא את הסיכון לניצול נוסף .