ShinyHunters valt massaal Oracle PeopleSoft aan via zero-day: al meer dan 100 slachtoffers

Grootschalige aanval op onderwijssector

Uit het onderzoek van Google bleek dat ShinyHunters wereldwijd ongeveer 300 afzonderlijke PeopleSoft-servers bij meer dan 100 organisaties heeft overgenomen . GTIG nam het initiatief om ruim 100 van deze getroffen organisaties actief te waarschuwen terwijl de aanvalscampagne nog gaande was .

De campagne volgde een opvallend patroon. 68% van de bekende slachtoffers behoorde tot de sector hoger onderwijs, met name universiteiten en hogescholen, grotendeels in de Verenigde Staten .

Om toegang te behouden installeerden de aanvallers MeshCentral-agents voor beheer op afstand. Ze verhulden deze als legitieme Microsoft Azure-diensten met bestandsnamen als meshagent64-azure-ops.exe. Ook de command-and-control-infrastructuur was vermomd als Azure, via het domein azurenetfiles.net . De buitgemaakte gegevens werden op 9 juni 2026 gepubliceerd op de dataleksite van ShinyHunters .

University of Nottingham: casus van de impact

De University of Nottingham werd het eerste publiekelijk bevestigde slachtoffer en illustreert de ernst van de inbraak. De universiteit erkende een cyberincident rond het studentenregistratiesysteem en bevestigde dat er tientallen gigabytes aan gegevens waren ingezien .

Uit berichten blijkt dat tussen de 454.600 en 500.000 persoons- en studiedossiers van huidige en voormalige studenten zijn gestolen . Het ging voornamelijk om student- en alumnigegevens; personeelsbankgegevens en onderzoeksdata bleven buiten schot, aldus de universiteit . De gestolen data bevatten onder meer thuisadressen, telefoonnummers en geboortedatums. Kort na de aanval verschenen deze op de ShinyHunters-leksite en werden ze opgenomen in de databank van "Have I Been Pwned" .

Directe maatregelen nu er nog geen volledige patch is

Oracle bracht op 10 juni 2026 een noodwaarschuwing uit, maar die bood in eerste instantie alleen workarounds, geen complete softwareoplossing. In lijn met het advies van Oracle beveelt Google's Threat Intelligence-team aan dat organisaties per direct de volgende stappen nemen om kwetsbare PeopleSoft-servers te beschermen :

1. Schakel de EMHub-service uit of verwijder deze: In multi-serverconfiguraties kun je de Environment Management Hub Service uitschakelen. Bij een enkele server moet de PSEMHUB-applicatie volledig worden verwijderd .
2. Blokkeer externe toegang op netwerkniveau: Gebruik firewalls of toegangscontrolelijsten om verkeer naar de misbruikte paden /PSEMHUB/* en /PSIGW/HttpListeningConnector te blokkeren .
3. Controleer de logbestanden: Securityteams moeten direct de PIA WebLogic-toegangslogs doorzoeken op POST-verzoeken naar /PSEMHUB/hub en /PSIGW/HttpListeningConnector die van externe IP-adressen komen. Zo kun je nagaan of je al doelwit bent geweest .
4. Zoek naar web shells: Controleer het PeopleSoft-bestandssysteem op verdachte .jsp-bestanden die een aanvaller kan hebben achtergelaten, met name in de map /webserv/applications/peoplesoft/PSEMHUB.war/ .
5. Let op Indicators of Compromise (IOC's): Let op de aanwezigheid van ongebruikelijke mappen met de namen logs, persistantstorage of scratchpad binnen PSEMHUB-paden. Houd ook eventueel uitgaand SMB-verkeer vanaf PeopleSoft-servers scherp in de gaten, want dat kan duiden op data-exfiltratie .

Deze stappen zijn cruciale noodmaatregelen. Organisaties die PeopleTools 8.61 of 8.62 draaien, moeten met prioriteit de officiële noodpatch van Oracle toepassen zodra deze beschikbaar komt, om het risico op verdere exploitatie volledig weg te nemen .