Eksploitasi Zero-Day Oracle PeopleSoft oleh ShinyHunters: Lebih 100 Organisasi Diceroboh, Sektor Pendidikan Paling Teruk Terjejas

Kempen ShinyHunters: Skala dan Sasaran

Siasatan Google mendedahkan satu operasi yang meluas dan terfokus. ShinyHunters berjaya menceroboh kira-kira 300 pelayan PeopleSoft yang berbeza merentasi lebih 100 organisasi di seluruh dunia . GTIG mengambil langkah proaktif dengan memaklumkan lebih 100 organisasi yang terdedah ini semasa tempoh eksploitasi aktif .

Kempen ini memaparkan corak sasaran yang jelas. 68% daripada mangsa yang dikenal pasti adalah entiti dalam sektor pendidikan tinggi, terutamanya kolej dan universiti, dengan majoritinya berpangkalan di Amerika Syarikat .

Untuk mengekalkan kegigihan dan kawalan, penyerang menggunakan ejen pengurusan jauh MeshCentral, tetapi menyamar nama fail sebagai perkhidmatan Microsoft Azure yang sah, menggunakan nama seperti meshagent64-azure-ops.exe. Infrastruktur perintah-dan-kawal (C2) mereka meniru Azure dengan menggunakan domain azurenetfiles.net . Data yang dicuri kemudiannya diterbitkan di Tapak Kebocoran Data (DLS) ShinyHunters pada 9 Jun 2026 .

Universiti Nottingham: Satu Kajian Kes Impak

Universiti Nottingham menjadi mangsa pertama yang disahkan secara awam, memberikan gambaran jelas tentang akibat daripada pelanggaran ini. Universiti tersebut mengakui satu insiden siber yang menjejaskan sistem rekod pelajarnya, mengesahkan bahawa sejumlah besar data, berjumlah puluhan gigabait, telah diakses .

Laporan daripada pelbagai sumber menunjukkan antara 454,600 hingga 500,000 rekod peribadi dan akademik kepunyaan pelajar semasa dan bekas pelajar telah dicuri . Data yang terjejas kebanyakannya terdiri daripada rekod pelajar dan alumni, tetapi universiti menyatakan bahawa butiran bank kakitangan dan data penyelidikan tidak termasuk dalam pelanggaran ini . Data yang dicuri, termasuk butiran seperti alamat rumah, nombor telefon, dan tarikh lahir, dengan cepat diterbitkan di tapak kebocoran ShinyHunters dan diindeks oleh “Have I Been Pwned” .

Mitigasi Segera Tanpa Tampalan Penuh

Walaupun Oracle mengeluarkan amaran keselamatan luar jalur pada 10 Jun 2026, panduan awalnya hanya terdiri daripada penyelesaian sementara dan bukannya pembetulan perisian yang lengkap. Blog perisikan ancaman Google, sejajar dengan nasihat Oracle, mengesyorkan organisasi mengambil langkah segera berikut untuk melindungi pelayan PeopleSoft yang terdedah :

1. Lumpuhkan atau Buang Perkhidmatan EMHub: Dalam konfigurasi pelbagai pelayan, organisasi harus melumpuhkan Perkhidmatan Hab Pengurusan Persekitaran. Untuk penggunaan pelayan tunggal, syor adalah untuk membuang sepenuhnya aplikasi PSEMHUB .
2. Sekat Akses Luaran di Perimeter: Hadkan akses kepada endpoint yang dieksploitasi, khususnya /PSEMHUB/* dan /PSIGW/HttpListeningConnector, menggunakan tembok api rangkaian atau senarai kawalan akses .
3. Audit Log Akses: Pasukan keselamatan harus segera memeriksa log akses PIA WebLogic untuk sebarang permintaan POST ke /PSEMHUB/hub dan /PSIGW/HttpListeningConnector yang berasal dari alamat IP luaran untuk mengenal pasti pencerobohan lampau .
4. Cari Web Shells: Periksa sistem fail PeopleSoft untuk fail .jsp yang tidak dijangka yang mungkin ditanam oleh penyerang, khususnya di bawah laluan /webserv/applications/peoplesoft/PSEMHUB.war/ .
5. Pantau Petunjuk Kompromi (IOC): Pantau kehadiran direktori mencurigakan yang dinamakan logs, persistantstorage, atau scratchpad dalam laluan PSEMHUB. Selain itu, teliti sebarang trafik SMB keluar dari pelayan PeopleSoft, yang mungkin menunjukkan aktiviti eksfiltrasi data .

Langkah-langkah ini adalah langkah sementara yang kritikal. Organisasi yang menjalankan PeopleTools versi 8.61 dan 8.62 mesti mengutamakan penggunaan kemas kini keselamatan luar jalur rasmi Oracle apabila ia tersedia untuk meremediasi sepenuhnya risiko eksploitasi selanjutnya .