Массовая эксплуатация ShinyHunters уязвимости нулевого дня в Oracle PeopleSoft затронула более 100 организаций

Подразделения Google — Mandiant и Threat Intelligence Group (GTIG) — официально подтвердили двухнедельную кампанию по взлому корпоративных систем, которую провела финансируемая за счёт вымогательств группа ShinyHunters (отслеживается как UNC6240). Хакеры активно эксплуатировали критическую уязвимость нулевого дня в Oracle PeopleSoft, которая позволяла удалённо выполнять код на сервере без аутентификации. Атака преимущественно была направлена на образовательные учреждения, и вся вредоносная активность произошла до того, как Oracle выпустила внеплановое предупреждение безопасности, то есть в момент активного проникновения официального патча не существовало.

Уязвимость нулевого дня: CVE-2026-35273

Уязвимость отслеживается под номером CVE-2026-35273. Она находится в компоненте Environment Management платформы Oracle PeopleSoft PeopleTools и имеет критический рейтинг по шкале CVSS — 9,8 балла из 10 . Баг допускает удалённое выполнение кода (RCE) без аутентификации по протоколам HTTP/HTTPS. Иными словами, злоумышленнику не нужны были ни учётные данные, ни участие пользователя — достаточно было сетевого доступа к уязвимому серверу .

Атака велась прицельно на конечные точки Environment Management Hub (PSEMHUB). Специалисты Google зафиксировали вредоносные POST-запросы к путям вроде /PSEMHUB/hub и /PSIGW/HttpListeningConnector . Уязвимость затрагивает версии PeopleTools 8.61 и 8.62 . Принципиально важно, что хронология кампании — с 27 мая по 9 июня 2026 года — полностью предшествует предупреждению Oracle от 10 июня. Это доказывает: баг эксплуатировали в дикой природе как неисправленную уязвимость нулевого дня .

Размах и цели кампании ShinyHunters

Расследование Google показало масштабную и чётко сфокусированную операцию. ShinyHunters скомпрометировали около 300 отдельных инстансов PeopleSoft, развёрнутых в более чем 100 организациях по всему миру . GTIG действовала на опережение: за время активной фазы эксплуатации уязвимости специалисты уведомили свыше 100 организаций, IP-адреса которых фигурировали как потенциально скомпрометированные .

Направленность атаки была выраженной. 68% известных жертв — это учреждения высшего образования, прежде всего колледжи и университеты. Основная масса скомпрометированных организаций находится в США .

Чтобы закрепиться в системах и сохранять контроль, хакеры разворачивали агентов удалённого управления MeshCentral, но маскировали их под легитимные сервисы Microsoft Azure, присваивая файлам имена вроде meshagent64-azure-ops.exe. Инфраструктура командных центров также мимикрировала под Azure: злоумышленники использовали домен azurenetfiles.net . Похищенные данные были опубликованы на сайте утечек ShinyHunters (Data Leak Site, DLS) 9 июня 2026 года .

Кейс Ноттингемского университета: показательный удар

Ноттингемский университет стал первой публично подтверждённой жертвой атаки, наглядно продемонстрировав серьёзность последствий. Университет признал факт киберинцидента, затронувшего систему учёта студентов, и подтвердил, что злоумышленники получили доступ к значительному массиву данных — десяткам гигабайт .

По сообщениям из множества источников, было похищено от 454 600 до 500 000 записей с персональными и академическими данными нынешних и бывших студентов . Скомпрометированы в основном студенческие и выпускнические записи, тогда как банковские реквизиты персонала и исследовательские данные в утечку не попали — это подчеркнули представители университета . Украденная информация, включавшая домашние адреса, телефоны и даты рождения, была оперативно выложена на сайт утечек ShinyHunters и проиндексирована сервисом «Have I Been Pwned» .

Как защититься до выхода полноценного обновления

Oracle выпустила внеплановое предупреждение безопасности 10 июня 2026 года, но первоначальные рекомендации содержали лишь обходные меры, а не полноценное программное исправление. Блог Google Threat Intelligence, согласующийся с бюллетенем Oracle, рекомендует организациям немедленно предпринять следующие шаги для защиты уязвимых инстансов PeopleSoft :

1. Отключить или удалить службу EMHub. В конфигурациях с несколькими серверами следует отключить службу Environment Management Hub. При развёртывании на одном сервере рекомендуется полностью удалить приложение PSEMHUB .
2. Закрыть доступ извне на периметре сети. С помощью сетевых экранов или списков контроля доступа ограничить доступ к скомпрометированным конечным точкам — /PSEMHUB/* и /PSIGW/HttpListeningConnector .
3. Проверить логи доступа. Командам безопасности необходимо срочно проанализировать журналы доступа PIA WebLogic на предмет POST-запросов к /PSEMHUB/hub и /PSIGW/HttpListeningConnector, поступающих с внешних IP-адресов, чтобы выявить исторические факты компрометации .
4. Искать веб-шеллы. Проверить файловую систему PeopleSoft на наличие неожиданных .jsp-файлов, которые мог загрузить злоумышленник. Особое внимание уделить пути .

Эти шаги критически важны как временная мера. Организации, использующие PeopleTools версий 8.61 и 8.62, должны в приоритетном порядке установить официальное внеплановое обновление безопасности от Oracle сразу же, как только оно станет доступно, чтобы полностью устранить риск дальнейшей эксплуатации уязвимости .