ShinyHunters wykorzystują zero-day w Oracle PeopleSoft – zhakowano ponad 100 organizacji

Oracle podziękował badaczom z TrendAI Zero Day Initiative i TrendAI Research za zgłoszenie luki . Krytyczne połączenie sieciowego wektora ataku, niskiej złożoności, braku wymogu uwierzytelniania i interakcji użytkownika sprawiło, że luka stała się głównym celem masowych ataków w chwili, gdy tylko wyszła na jaw.

Jak przebiegał atak: oś czasu przed udostępnieniem łatki

Kampania została przypisana przez Google Mandiant grupie śledzonej jako UNC6240, publicznie znanej jako ShinyHunters. Firma Mandiant oszacowała okres aktywnego wykorzystania luki na od 27 maja 2026 do 9 czerwca 2026 roku .

Ponieważ Oracle opublikował swój alert bezpieczeństwa i łatkę dopiero 10 czerwca 2026 roku, luka pozostawała błędem zero-day przez cały czas aktywnej eksploatacji . W tym czasie atakujący skanowali internet w poszukiwaniu widocznych instancji PeopleSoft i wykorzystywali CVE-2026-35273, by zdobyć przyczółek na niezałatanych serwerach.

Po uzyskaniu dostępu grupa poruszała się poziomo w przejętych środowiskach. Badacze bezpieczeństwa z Field Effect zauważyli, że atakujący połączyli CVE-2026-35273 z technikami opartymi na poświadczeniach i prawdopodobnie z dodatkowymi podatnościami, by zmaksymalizować skalę kompromitacji i zlokalizować cenne repozytoria danych . To wieloetapowe podejście pozwoliło grupie ShinyHunters wykraść znacznie więcej danych, niż przyniósłby prosty atak typu „smash-and-grab”.

Po eksfiltracji danych grupa postępowała zgodnie ze swoim dobrze znanym schematem: zażądała zapłaty od ofiar, grożąc publikacją skradzionych informacji, jeśli żądania nie zostaną spełnione . Taktyka skoncentrowana na wymuszeniu, a nie na wdrożeniu oprogramowania ransomware, jest znakiem rozpoznawczym działań ShinyHunters.

Jakie dane skradziono

Rodzaj skradzionych danych różnił się w zależności od organizacji-ofiary, ale powtarzało się kilka kategorii o wysokiej wartości:

• Dane osobowe (PII) studentów, wykładowców i personelu .
• Dokumentacja akademicka, dane o zapisach i informacje o pomocy finansowej, co odzwierciedla dużą koncentrację ofiar w sektorze edukacji .
• Dane kadrowo-płacowe z firmowych wdrożeń PeopleSoft, w tym informacje o świadczeniach i wynagrodzeniach .
• Wewnętrzne pliki konfiguracyjne i poświadczenia, które atakujący wykorzystali do poruszania się poziomo w przejętych środowiskach .

Szeroki zakres skradzionych danych odzwierciedla rolę PeopleSoft jako scentralizowanego systemu ERP, gromadzącego wrażliwe informacje z działów HR, finansów i administracji kampusu . Pojedynczy wyciek może ujawnić całe lata danych osobowych i instytucjonalnych.

Nadzwyczajna reakcja Oracle

10 czerwca 2026 roku Oracle odstąpił od swojego regularnego, kwartalnego cyklu poprawek i opublikował nadzwyczajny alert bezpieczeństwa dotyczący CVE-2026-35273 . Firma wydała tego samego dnia łatki dla PeopleTools 8.61 i 8.62, co było niezwykle pilnym posunięciem, podkreślającym aktywną i szeroko zakrojoną eksploatację luki .

Komunikat Oracle był jednoznaczny: „Ta luka może być wykorzystana zdalnie bez uwierzytelnienia. Jej pomyślne wykorzystanie może skutkować zdalnym wykonaniem kodu” . Firma wezwała wszystkich klientów do zastosowania poprawki w ramach „wysokopriorytetowego działania redukującego ryzyko” .

CISA podnosi alarm

Dwa dni po komunikacie Oracle, 12 czerwca 2026 roku, amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA, Cybersecurity and Infrastructure Security Agency) dodała CVE-2026-35273 do swojego katalogu znanych wykorzystywanych podatności (KEV, Known Exploited Vulnerabilities) . Dodanie to uruchomiło obowiązkowe terminy łatania dla amerykańskich agencji federalnych i było silnym sygnałem dla wszystkich organizacji, publicznych i prywatnych, że luka jest aktywnie i powszechnie atakowana.

Kanadyjskie Centrum Cyberbezpieczeństwa (Canadian Centre for Cyber Security) również wydało 11 czerwca alert AV26-587, ostrzegając przed aktywną eksploatacją luki i nakazując administratorom natychmiastowe zapoznanie się z wytycznymi Oracle . Skoordynowana reakcja rządowa odzwierciedlała powagę i skalę incydentu.

Pilne kroki zaradcze

Na podstawie wytycznych Oracle, CISA, Rapid7 i innych dostawców usług bezpieczeństwa, organizacje korzystające z PeopleSoft powinny niezwłocznie podjąć następujące działania:

1. Zastosuj nadzwyczajną łatkę Oracle dla PeopleTools 8.61 i 8.62, i to natychmiast .
2. Sprawdź, czy nie używasz niewspieranych wersji. Jeśli działasz na wersji spoza zakresu łatek, zaplanuj awaryjną aktualizację do wspieranego wydania.
3. Przeprowadź audyt śledczy serwerów aplikacji i baz danych PeopleSoft w poszukiwaniu shelli internetowych, nieautoryzowanych skryptów lub narzędzi do wykradania poświadczeń .
4. Zmień wszystkie poświadczenia przechowywane w środowiskach PeopleSoft lub z nich dostępne, w tym konta serwisowe i parametry połączenia z bazą danych .
5. Ogranicz dostęp sieciowy do interfejsów HTTP/HTTPS PeopleSoft (porty 80 i 443) z internetu, gdzie to możliwe, lub umieść je za siecią VPN .
6. Monitoruj anomalne wychodzące transfery danych z serwerów PeopleSoft – duże transfery do nieznanych, zewnętrznych adresów IP są silnym wskaźnikiem eksfiltracji .

Wskaźniki kompromitacji (IoC)

Opublikowane wskaźniki kompromitacji (IoC, Indicators of Compromise) wciąż ewoluują w miarę postępu dochodzeń. Z wczesnych doniesień wyłoniło się jednak kilka kategorii wskaźników:

• Nieautoryzowane żądania HTTP skierowane na endpoint Updates Environment Management w PeopleTools .
• Web shelle lub nieoczekiwane pliki skryptów pojawiające się na serwerach aplikacji PeopleSoft .
• Nietypowe zdarzenia uwierzytelniania z nieznanych adresów IP lub kont serwisowych logujących się wyjątkowo rzadko .
• Duże wychodzące transfery danych z serwerów baz danych PeopleSoft do zewnętrznych miejsc docelowych .
• Nowo utworzone konta serwisowe lub zaplanowane zadania na przejętych serwerach .

Opublikowano również konkretne adresy IP kontrolowane przez atakujących – na przykład Pathlock poinformował o połączeniach z 142.11.200.186–190, 108.174.202.99 i 176.120.22.24 – a także o pliku z żądaniem okupu o nazwie README-IF-..., którego organizacje powinny szukać w swoich logach PeopleSoft .

ShinyHunters a sektor edukacji: powtarzalny schemat

Kampania Oracle PeopleSoft nie jest dla grupy ShinyHunters przypadkiem odosobnionym. Grupa ma dobrze udokumentowaną skłonność do celów edukacyjnych, napędzaną kilkoma czynnikami strategicznymi:

• Bogate, zagregowane zbiory danych. Uniwersytety i uczelnie prowadzą olbrzymie wdrożenia PeopleSoft, które gromadzą dziesięciolecia danych osobowych, akademickich i finansowych setek tysięcy osób .
• Powolne cykle łatania. Instytucje szkolnictwa wyższego często korzystają z mocno spersonalizowanych środowisk PeopleSoft z nieregularną i opóźnioną częstotliwością aktualizacji, co czyni je łatwym celem dla każdej zmilitaryzowanej podatności .
• Wymuszenie, nie ransomware. ShinyHunters koncentruje się na kradzieży danych i wymuszeniach, a nie na wdrażaniu ransomware, co przynosi wysokie zyski, gdy skradzione dane są wystarczająco wrażliwe, by wymusić zapłatę .
• Masowe, oportunistyczne skanowanie. Grupa skanuje szeroko całe sektory, zamiast wybierać pojedyncze cele o wysokiej wartości, co maksymalizuje ich zasięg za każdym razem, gdy pojawi się krytyczna luka, jak CVE-2026-35273 .

Kampania z czerwca 2026 roku wpisuje się w schemat wcześniejszych ataków ShinyHunters na uniwersytety i platformy technologii edukacyjnych, w których grupa wykradała miliony rekordów i sprzedawała je na forach dark webu. Połączenie luki zero-day RCE w PeopleTools z sektorem ofiar o trwałych lukach w zabezpieczeniach okazało się druzgocąco skuteczne.

Dla organizacji, które wciąż oceniają swoją ekspozycję, natychmiastowym priorytetem jest zastosowanie poprawki. Poza tym incydent ten przypomina, że wielkoskalowe platformy ERP wymagają tych samych warstw zabezpieczeń, monitorowania i zdolności szybkiego reagowania, co każda krytyczna usługa dostępna z internetu.