ShinyHunters เจาะช่องโหว่ Zero-Day ใน Oracle PeopleSoft โจมตีกว่า 100 องค์กร กวาดข้อมูลนักศึกษามหาวิทยาลัยดัง

ปฏิบัติการของ ShinyHunters: ขนาดและเป้าหมาย

การสืบสวนของ Google เผยถึงปฏิบัติการที่กว้างขวางและมุ่งเป้าชัดเจน ShinyHunters เจาะระบบ Oracle PeopleSoft ได้ประมาณ 300 อินสแตนซ์ กระจายตัวอยู่ในกว่า 100 องค์กรทั่วโลก GTIG ได้ดำเนินการเชิงรุกด้วยการแจ้งเตือนองค์กรที่ตกเป็นเป้าหมายกว่า 100 แห่งในระหว่างที่การโจมตียังดำเนินอยู่

ปฏิบัติการนี้แสดงรูปแบบการโจมตีที่ชัดเจน โดย 68% ของเหยื่อที่ทราบชื่อเป็นหน่วยงานในภาคอุดมศึกษา โดยเฉพาะอย่างยิ่งวิทยาลัยและมหาวิทยาลัย ซึ่งส่วนใหญ่ตั้งอยู่ในสหรัฐอเมริกา

เพื่อรักษาการเข้าถึงและควบคุมระบบ ผู้โจมตีได้ติดตั้งเอเจนต์จัดการระยะไกล MeshCentral แต่ใช้กลวิธีพรางชื่อไฟล์ให้ดูเหมือนบริการถูกกฎหมายของ Microsoft Azure เช่น meshagent64-azure-ops.exe โครงสร้างพื้นฐานสำหรับสั่งการและควบคุมก็เลียนแบบ Azure ด้วยการใช้โดเมน azurenetfiles.net ข้อมูลที่ถูกขโมยถูกนำไปเผยแพร่บนเว็บไซต์รั่วไหลข้อมูล (Data Leak Site หรือ DLS) ของ ShinyHunters ในวันที่ 9 มิถุนายน 2026

มหาวิทยาลัยนอตติงแฮม: กรณีศึกษาถึงผลกระทบ

มหาวิทยาลัยนอตติงแฮม (University of Nottingham) กลายเป็นเหยื่อรายแรกที่ได้รับการยืนยันอย่างเป็นทางการ สะท้อนให้เห็นผลลัพธ์ของการถูกโจมตีได้อย่างชัดเจน มหาวิทยาลัยยอมรับว่ามีเหตุการณ์ทางไซเบอร์ที่กระทบต่อระบบทะเบียนนักศึกษา (student records system) โดยยืนยันว่ามีข้อมูลปริมาณ "หลายสิบกิกะไบต์" ถูกเข้าถึง

รายงานจากหลายแหล่งชี้ว่ามีข้อมูลส่วนบุคคลและประวัติการศึกษาของนักศึกษาปัจจุบันและศิษย์เก่าระหว่าง 454,600 ถึง 500,000 รายการ ถูกขโมย ข้อมูลที่ถูกบุกรุกส่วนใหญ่เป็นบันทึกของนักศึกษาและศิษย์เก่า แต่มหาวิทยาลัยย้ำว่าข้อมูลธนาคารของเจ้าหน้าที่และข้อมูลงานวิจัยไม่ได้รับผลกระทบจากเหตุการณ์นี้ ข้อมูลที่ถูกขโมย ซึ่งรวมถึงรายละเอียดต่างๆ เช่น ที่อยู่บ้าน หมายเลขโทรศัพท์ และวันเดือนปีเกิด ได้ถูกนำไปเผยแพร่อย่างรวดเร็วบนเว็บไซต์รั่วไหลข้อมูลของ ShinyHunters และถูกจัดทำดัชนีโดยบริการตรวจสอบข้อมูลรั่วไหล "Have I Been Pwned"

มาตรการลดความเสี่ยงฉุกเฉินก่อนมีแพตช์

แม้ว่า Oracle จะออกคำแนะนำด้านความปลอดภัยฉุกเฉิน (out-of-band security alert) ในวันที่ 10 มิถุนายน 2026 แต่แนวทางเบื้องต้นเป็นเพียงวิธีการแก้ไขชั่วคราว ไม่ใช่การแก้ไขซอฟต์แวร์แบบสมบูรณ์ บล็อกด้านภัยคุกคามของ Google ที่สอดคล้องกับคำแนะนำของ Oracle เสนอให้องค์กรต่างๆ ดำเนินการขั้นตอนต่อไปนี้โดยทันทีเพื่อปกป้องอินสแตนซ์ของ PeopleSoft ที่มีช่องโหว่ :

1. ปิดหรือลบ EMHub Service: ในการตั้งค่าที่มีหลายเซิร์ฟเวอร์ องค์กรควรปิด Environment Management Hub Service สำหรับการติดตั้งบนเซิร์ฟเวอร์เดียว คำแนะนำคือให้ลบแอปพลิเคชัน PSEMHUB ออกทั้งหมด
2. บล็อกการเข้าถึงจากภายนอกที่ขอบเครือข่าย: จำกัดการเข้าถึงไปยังจุดเชื่อมต่อที่ถูกโจมตี โดยเฉพาะ /PSEMHUB/* และ /PSIGW/HttpListeningConnector โดยใช้ไฟร์วอลล์เครือข่ายหรือรายการควบคุมการเข้าถึง (ACL)
3. ตรวจสอบบันทึกการเข้าถึง: ทีมรักษาความปลอดภัยควรรีบตรวจสอบบันทึกการเข้าถึงของ PIA WebLogic เพื่อหาคำขอ POST ไปยัง /PSEMHUB/hub และ /PSIGW/HttpListeningConnector ที่มาจากเลขที่อยู่ IP ภายนอก เพื่อตรวจสอบว่ามีการบุกรุกแล้วหรือไม่ในอดีต
4. ค้นหาเว็บเชลล์: ตรวจดูไฟล์ .jsp ที่ไม่ควรมีอยู่บนระบบไฟล์ของ PeopleSoft ที่ผู้โจมตีอาจฝังไว้ โดยเฉพาะในพาธ /webserv/applications/peoplesoft/PSEMHUB.war/
5. เฝ้าระวัง Indicators of Compromise (IOCs): จับตาดูไดเรกทอรีที่น่าสงสัยซึ่งมีชื่อว่า logs, persistantstorage หรือ scratchpad ภายในพาธของ PSEMHUB นอกจากนี้ ให้ตรวจสอบทราฟฟิก SMB ขาออกจากเซิร์ฟเวอร์ PeopleSoft ซึ่งอาจเป็นสัญญาณการขโมยข้อมูลออกไป

ขั้นตอนเหล่านี้เป็นมาตรการหยุดยั้งที่สำคัญเร่งด่วน แต่องค์กรที่ใช้ PeopleTools เวอร์ชัน 8.61 และ 8.62 ต้องให้ความสำคัญกับการอัปเดตแพตช์ฉุกเฉินอย่างเป็นทางการของ Oracle ทันทีเมื่อพร้อม เพื่อแก้ไขความเสี่ยงที่จะถูกโจมตีซ้ำอย่างเต็มรูปแบบ