Masowy atak ShinyHunters na Oracle PeopleSoft: Ponad 100 organizacji ofiarami krytycznej luki zero-day

Atak był precyzyjnie wymierzony w punkty końcowe Environment Management Hub (PSEMHUB). Google zaobserwowało złośliwe żądania POST wysyłane na ścieżki takie jak /PSEMHUB/hub i /PSIGW/HttpListeningConnector . Luka dotyczy wersji PeopleTools 8.61 i 8.62 . Co kluczowe, czas trwania kampanii – od 27 maja do 9 czerwca 2026 – w całości wyprzedzał publikację alertu bezpieczeństwa przez Oracle 10 czerwca. To jednoznacznie potwierdza, że luka była aktywnie wykorzystywana jako niezałatany zero-day .

Kampania ShinyHunters: Skala i cele

Dochodzenie Google ujawniło szeroko zakrojoną i ukierunkowaną operację. ShinyHunters przejęli kontrolę nad około 300 odrębnymi instancjami PeopleSoft, rozsianymi w ponad 100 organizacjach na całym świecie . Zespół GTIG podjął proaktywne kroki, powiadamiając podczas aktywnego okna ataku ponad 100 potencjalnie zagrożonych instytucji, aby mogły się zabezpieczyć .

Kampania wykazywała bardzo wyraźny wzorzec. Aż 68% zidentyfikowanych ofiar stanowiły podmioty z sektora szkolnictwa wyższego, głównie uniwersytety i szkoły wyższe, z których większość miała siedzibę w Stanach Zjednoczonych .

Aby utrzymać stały dostęp do systemów i zachować nad nimi kontrolę, atakujący wdrażali narzędzie zdalnego zarządzania MeshCentral. Zataili je jednak, nadając plikom nazwy imitujące legalne usługi Microsoft Azure, takie jak meshagent64-azure-ops.exe. Infrastruktura dowodzenia (C2) również podszywała się pod Azure, wykorzystując domenę azurenetfiles.net . Skradzione dane zostały później opublikowane na specjalnej stronie ShinyHunters służącej do wycieku danych (DLS) 9 czerwca 2026 roku .

Uniwersytet w Nottingham: studium przypadku

Uniwersytet w Nottingham stał się pierwszą publicznie potwierdzoną ofiarą tego ataku, co stanowi dobitny przykład jego konsekwencji. Uczelnia, będąca częścią prestiżowej brytyjskiej grupy Russel Group, przyznała, że doszło do incydentu cybernetycznego, który naruszył jej system akt studenckich, a nieuprawniony dostęp objął znaczną ilość danych, liczoną w dziesiątkach gigabajtów .

Z doniesień wielu źródeł wynika, że skradziono od 454 600 do 500 000 osobistych i akademickich rekordów należących do obecnych i byłych studentów . Skompromitowane dane to głównie informacje studentów i absolwentów, ale uczelnia zaznaczyła, że dane bankowe pracowników oraz dane badawcze nie zostały naruszone . Wśród upublicznionych informacji znalazły się m.in. adresy zamieszkania, numery telefonów i daty urodzenia. Wyciekły zestaw danych został szybko opublikowany na stronie ShinyHunters i zindeksowany przez serwis “Have I Been Pwned” .

Działania doraźne przed wdrożeniem łatki

Mimo że Oracle opublikowało nadzwyczajny alert bezpieczeństwa 10 czerwca 2026 roku, początkowe zalecenia dotyczyły głównie środków zaradczych i obejść, a nie pełnej łatki programowej. Zgodnie z wpisem Google na blogu Threat Intelligence i alertem Oracle, rekomenduje się organizacjom podjęcie następujących natychmiastowych działań w celu ochrony wrażliwych instancji PeopleSoft :

1. Wyłącz lub usuń usługę EMHub: W przypadku konfiguracji wieloserwerowych należy wyłączyć usługę Environment Management Hub. W przypadku wdrożeń na pojedynczym serwerze, zalecane jest całkowite usunięcie aplikacji PSEMHUB .
2. Zablokuj dostęp z zewnątrz na zaporze sieciowej: Należy ograniczyć dostęp do wykorzystywanych w ataku punktów końcowych, a konkretnie do ścieżek /PSEMHUB/* oraz /PSIGW/HttpListeningConnector, korzystając z zapór sieciowych lub list kontroli dostępu (ACL) .
3. Przeprowadź audyt dzienników dostępu: Zespoły bezpieczeństwa powinny natychmiast sprawdzić dzienniki dostępu PIA WebLogic pod kątem żądań POST na ścieżki /PSEMHUB/hub i /PSIGW/HttpListeningConnector, które pochodzą z zewnętrznych adresów IP. Pozwoli to na identyfikację historycznych naruszeń .
4. Wyszukaj shelli internetowych: Należy sprawdzić system plików PeopleSoft pod kątem nieoczekiwanych plików z rozszerzeniem .jsp, które atakujący mógł umieścić, szczególnie w ścieżce /webserv/applications/peoplesoft/PSEMHUB.war/ .
5. Monitoruj wskaźniki kompromitacji (IOC): Należy zwracać uwagę na obecność podejrzanych katalogów o nazwach logs, persistantstorage lub scratchpad w ścieżkach PSEMHUB. Dodatkowo, trzeba skrupulatnie analizować wszelki wychodzący ruch SMB z serwerów PeopleSoft, który może wskazywać na eksfiltrację danych .

Te kroki są krytycznymi środkami tymczasowymi. Organizacje korzystające z PeopleTools w wersjach 8.61 i 8.62 muszą priorytetowo potraktować wdrożenie oficjalnej, nadzwyczajnej aktualizacji bezpieczeństwa od Oracle, gdy tylko stanie się dostępna, aby w pełni wyeliminować ryzyko dalszych ataków .