ShinyHunters sfrutta zero-day di Oracle PeopleSoft: trafugati i dati di 500.000 studenti

La Campagna ShinyHunters: Scala e Obiettivi

L'indagine di Google ha rivelato un'operazione ampia e mirata. ShinyHunters ha compromesso circa 300 istanze distinte di PeopleSoft distribuite in più di 100 organizzazioni a livello globale . GTIG ha compiuto il passo proattivo di notificare oltre 100 di queste organizzazioni esposte durante la finestra di sfruttamento attivo .

La campagna ha mostrato un chiaro schema nei suoi bersagli. Il 68% delle vittime note erano entità nel settore dell'istruzione superiore, principalmente college e università, con la maggioranza situata negli Stati Uniti .

Per mantenere la persistenza e il controllo, gli aggressori hanno distribuito agenti di gestione remota MeshCentral, camuffando però i nomi dei file come legittimi servizi Microsoft Azure, utilizzando denominazioni come meshagent64-azure-ops.exe. Anche l'infrastruttura di comando e controllo imitava Azure, usando il dominio azurenetfiles.net . I dati rubati sono stati successivamente pubblicati sul sito di leak ShinyHunters (DLS) il 9 giugno 2026 .

Università di Nottingham: Un Caso Studio sull'Impatto

L'Università di Nottingham è diventata la prima vittima confermata pubblicamente, fornendo una chiara illustrazione delle conseguenze della violazione. L'università ha riconosciuto un incidente informatico che ha colpito il suo sistema di gestione delle carriere degli studenti, confermando che una quantità significativa di dati, per un totale di decine di gigabyte, era stata consultata illecitamente .

Rapporti da più fonti indicano che sono stati rubati tra 454.600 e 500.000 record personali e accademici appartenenti a studenti ed ex studenti . I dati compromessi consistevano principalmente in registri di studenti e alumni, ma l'università ha precisato che i dettagli bancari del personale e i dati di ricerca non sono stati coinvolti nella violazione . I dati trafugati, che includevano dettagli come indirizzi di casa, numeri di telefono e date di nascita, sono stati rapidamente pubblicati sul sito di leak di ShinyHunters e indicizzati da "Have I Been Pwned", il celebre servizio che permette di verificare se i propri dati sono finiti in mani sbagliate .

Le Contromisure Imminenti in Assenza di una Patch Completa

Sebbene Oracle abbia emesso un avviso di sicurezza straordinario il 10 giugno 2026, la guida iniziale consisteva in soluzioni temporanee piuttosto che in una correzione software completa. Il blog di Google Threat Intelligence, in linea con l'avviso di Oracle, raccomanda alle organizzazioni di adottare le seguenti misure immediate per proteggere le istanze vulnerabili di PeopleSoft :

1. Disabilitare o Rimuovere il Servizio EMHub: Nelle configurazioni multi-server, le organizzazioni dovrebbero disabilitare il servizio Environment Management Hub. Per le distribuzioni su server singolo, la raccomandazione è di rimuovere completamente l'applicazione PSEMHUB .
2. Bloccare l'Accesso Esterno a Livello di Perimetro: Limitare l'accesso agli endpoint sfruttati, in particolare /PSEMHUB/* e /PSIGW/HttpListeningConnector, utilizzando firewall di rete o liste di controllo degli accessi .
3. Verificare i Registri di Accesso: I team di sicurezza dovrebbero controllare immediatamente i log di accesso di PIA WebLogic per eventuali richieste POST a /PSEMHUB/hub e /PSIGW/HttpListeningConnector provenienti da indirizzi IP esterni, per identificare una compromissione pregressa .
4. Cercare Web Shell: Ispezionare il file system di PeopleSoft per individuare file .jsp inaspettati che un aggressore potrebbe aver inserito, in particolare nel percorso /webserv/applications/peoplesoft/PSEMHUB.war/ .
5. Monitorare gli Indicatori di Compromissione (IOC): Tenere sotto controllo la presenza di directory sospette denominate logs, persistantstorage o scratchpad all'interno dei percorsi di PSEMHUB. Inoltre, esaminare attentamente qualsiasi traffico SMB in uscita dai server PeopleSoft, che potrebbe indicare un'esfiltrazione di dati in corso .

Questi passaggi sono misure tampone critiche. Le organizzazioni che eseguono le versioni 8.61 e 8.62 di PeopleTools devono dare priorità all'applicazione dell'aggiornamento di sicurezza straordinario ufficiale di Oracle non appena sarà disponibile, per risanare completamente il rischio di ulteriori sfruttamenti .