ShinyHunters מנצלים פרצות אפס במערכת PeopleSoft של אורקל וגונבים נתונים מאוניברסיטאות

הקבוצה השתמשה במה שהיא מכנה "גאדג'ט צ'יין" (שרשרת ניצול מורכבת) — שילוב של פגיעויות מוכרות וישנות עם פרצות יום-אפס חדשות במערכת PeopleSoft . לדברי התקיפים, ההתקפה לא עובדת על כל השרתים; ההצלחה תלויה באופן שבו כל ארגון הגדיר את שרתי ה-PeopleSoft שלו .

מודל הפעולה של "שלם-או-הדלפה" פשוט: ארגונים שמסרבים לשלם את הכופר, רואים את המידע הגנוב מפורסם באתר ההדלפות של ShinyHunters .

מגזר ההשכלה הגבוהה: המטרה המרכזית

המתקפה כוונה בעיקר למוסדות אקדמיים. ShinyHunters התמקדו בכבדות במוסדות להשכלה גבוהה, כהמשך לדפוס שהונהג בקמפיינים קודמים ב-2026 נגד Canvas/Instructure ו-Salesforce Experience Cloud .

אוניברסיטת נוטינגהאם אישרה את הפריצה. התוקפים חדרו בסוף חודש מאי 2026 למערכת "Campus Solutions" לניהול רישומי הסטודנטים, המבוססת על Oracle PeopleSoft . דגימת המידע שהודלפה כללה תיקי סטודנטים, מועמדים, סיוע כספי, הגירה, בריאות ומנהלה . ShinyHunters טענו לגניבת מעל 40 ג'יגה בייט של מידע רגיש, לרבות רישומי חיוב, פרטי כרטיסי אשראי, נתוני מימון סטודנטים וייצוא נתונים מפורטלי הקמפוסים של האוניברסיטה בבריטניה, מלזיה וסין .

שינוי דפוסי פעולה: מ"וישינג" לפרצות אפס

המתקפה על Oracle PeopleSoft מייצגת שינוי מובהק באסטרטגיית התקיפה של ShinyHunters. רוב פעילותם במהלך 2025 ותחילת 2026 התבססה על שימוש לרעה בזהויות ובגישה — שיחות "וישינג" (התחזות טלפונית), הנדסה חברתית, השתלטות על חשבונות Okta SSO ושימוש לרעה בטוקני OAuth . צוות Mandiant ו-Google Threat Intelligence תיעדו כיצד ShinyHunters התחזו לאנשי תמיכת IT, דחקו בעובדים לגשת לאתרי פישינג בעיצוב תאגידי וגנבו פרטי כניסה וקודים חד-פעמיים .

דו”ח איומים של The Crosswalk מגדיר זאת בחריפות: ShinyHunters "כמעט אף פעם לא מנצלות פגיעויות תוכנה", ומתמקדות באימות מול מוקדי תמיכה, עקיפת MFA של עובדים וניצול טוקני OAuth של אפליקציות SaaS צד-שלישי . המתקפה על PeopleSoft שונה באופן מהותי, תוך שימוש בניצול תוכנה אמיתי — לרבות פרצות אפס — דבר שלא נראה בפעילותם מעולם .

Oracle ורשויות בריטיות: תגובה ציבורית מוגבלת

נכון ל-10 ביוני 2026, Oracle לא פרסמה הודעה רשמית או אזהרת אבטחה ייעודית לקמפיין זה. טרם דווח על טלאים ספציפיים לפעילות . רשויות בריטיות — לרבות משרד נציב המידע (ICO) ורשויות אכיפת החוק — טרם הגיבו באופן פומבי. אוניברסיטת נוטינגהאם ניהלה את האירוע באופן פנימי, עדכנה סטודנטים ישירות והשביתה זמנית מערכות לחקירה .

סממני זיהוי (IoCs): מידע מוגבל לעת עתה

קהילת אבטחת המידע טרם פרסמה סממני זיהוי ייחודיים (IoCs) דוגמת כתובות IP או Hashים של קבצים עבור קמפיין PeopleSoft. Huntress פרסמה פרופיל רחב של שחקן האיום, הכולל סממני רשת הקשורים לתשתיות ShinyHunters, אך אלה קשורים לקמפיינים ממוקדי SaaS, לא לניצול PeopleSoft .

תדרוך Crosswalk מציין שדפוסי הפעולה הרגילים של ShinyHunters, שמתבססים על ניצול זהויות, ממעטים לייצר IoCs ייחודיים לפגיעות תוכנה, מה שמקשה על ציד איומים והגנה ממוקדת .

הסלמת 2026: דפוס של סחיטה המונית

קמפיין PeopleSoft משתלב בשרשרת אירועים חסרת תקדים ב-2026:

קמפיין AuraInspector (תחילת 2026):

ניצול הגדרות שגויות ב-Salesforce Experience Cloud, תוך טענה לפריצה של קרוב ל-400 ארגונים .

הפריצה ל-Wynn Resorts (פברואר 2026):

חשיפה של מעל 800,000 רישומי עובדים, כשהכניסה הראשונית יוחסה גם היא לפגיעות ב-Oracle PeopleSoft .

הפריצה ל-Canvas (אפריל–מאי 2026):

פריצת הענק לזירת הלמידה Instructure/Canvas — גניבת הנתונים הגדולה בהיסטוריה ממגזר החינוך — ShinyHunters טענה ל-275 מיליון רישומים מ-8,000–9,000 מוסדות .

הפריצה ל-Charter Communications (מאי–יוני 2026):

חשיפה של 4.9 מיליון רישומי לקוחות .

קמפיין Oracle PeopleSoft (יוני 2026):

מעל 100 ארגונים, מעל 300 שרתים .

דו"ח חקירת פריצות הנתונים השנתי של Verizon (DBIR) ל-2026 חשף מהפך מבני: בפעם הראשונה מזה 19 שנים, ניצול פגיעויות תוכנה הפך לווקטור התקיפה המוביל (31%), כשהוא עוקף גניבת נתוני כניסה . ההסבה של ShinyHunters משימוש לרעה בזהויות לשרשראות ניצול אמיתיות, מתיישרת באופן מובהק עם מגמה זו ומרמזת שהמתקפות ההמוניות על פלטפורמות ארגוניות מרכזיות יימשכו.

עבור האוניברסיטאות, המסקנה ברורה וחריפה: אותה תוכנה מאוחדת שהפכה פלטפורמות כמו Canvas ו-PeopleSoft לחיוניות ללמידה מרחוק ולניהול, הפכה אותן עכשיו לנקודת כשל קטסטרופלית ברגע שתוקפים מוצאים חרך לא מתוקנן .