ShinyHunters เจาะช่องโหว่ซีโร่เดย์ Oracle PeopleSoft เจาะระบบกว่า 100 องค์กรทั่วโลก

ทาง Oracle ระบุว่า ทีมนักวิจัยจาก TrendAI Zero Day Initiative และ TrendAI Research เป็นผู้ค้นพบและรายงานช่องโหว่ดังกล่าว ปัจจัยที่รวมกันอย่างร้ายแรงนี้ ไม่ว่าจะเป็นช่องทางโจมตีผ่านเครือข่าย, ความซับซ้อนในการโจมตีที่ต่ำ, การไม่ต้องยืนยันตัวตน, และไม่ต้องให้ผู้ใช้ทำอะไรเลย ทำให้ช่องโหว่นี้กลายเป็นเป้าหมายอันดับต้นๆ สำหรับการโจมตีเป็นวงกว้างทันทีที่ผู้โจมตีรู้จักมัน

เส้นเวลาการโจมตี: ก่อนที่แพตช์จะออก

แคมเปญการโจมตีนี้ถูกระบุตัวตนโดย Mandiant ของ Google ว่าเป็นฝีมือของกลุ่มที่ถูกเรียกขานว่า UNC6240 ซึ่งเป็นที่รู้จักในนาม ShinyHunters โดย Mandiant ระบุช่วงเวลาที่มีการใช้ช่องโหว่นี้จริงอยู่ระหว่าง วันที่ 27 พฤษภาคม ถึง 9 มิถุนายน 2026

เนื่องจาก Oracle เพิ่งเผยแพร่คำแนะนำด้านความปลอดภัยและปล่อยแพตช์แก้ไขในวันที่ 10 มิถุนายน 2026 ช่องโหว่นี้จึงมีสถานะเป็นซีโร่เดย์ตลอดระยะเวลาทั้งหมดที่มีการโจมตีอย่างคึกคัก ในช่วงเวลานั้น ผู้โจมตีได้สแกนหาอินสแตนซ์ของ PeopleSoft ที่เชื่อมต่อกับอินเทอร์เน็ต และใช้ประโยชน์จาก CVE-2026-35273 เพื่อเข้าถึงเซิร์ฟเวอร์ที่ยังไม่ได้อัปเดตแพตช์เป็นจุดเริ่มต้น

เมื่อเข้าไปในระบบได้แล้ว กลุ่มแฮกเกอร์ได้ทำการเคลื่อนย้าย lateral movement ไปทั่วสภาพแวดล้อมที่ถูกบุกรุก นักวิจัยด้านความปลอดภัยของ Field Effect ตั้งข้อสังเกตว่า ผู้โจมตีได้ รวมการใช้ CVE-2026-35273 เข้ากับเทคนิคที่อาศัย Credential และอาจรวมถึงช่องโหว่อื่นๆ เพื่อเพิ่มขนาดการโจมตีให้ใหญ่ที่สุดและค้นหาแหล่งเก็บข้อมูลที่มีมูลค่าสูง วิธีการแบบหลายขั้นตอนนี้ช่วยให้ ShinyHunters สามารถขโมยข้อมูลออกไปได้มากกว่าการโจมตีแบบง่ายๆ ทั่วไป

หลังจากขโมยข้อมูลออกไป กลุ่มแฮกเกอร์ก็ทำตามแผนการที่เคยใช้ประจำ นั่นคือ การเรียกร้องค่าไถ่จากเหยื่อ พร้อมขู่ว่าจะเผยแพร่ข้อมูลที่ถูกขโมยไปหากไม่จ่ายตามที่ต้องการ กลยุทธ์ที่เน้นการรีดไถเป็นหลัก แทนที่จะลง Ransomware เข้ารหัสไฟล์ นี่คือจุดเด่นที่เป็นเครื่องหมายการค้าของ ShinyHunters เลยทีเดียว

ข้อมูลอะไรที่ถูกขโมยไปบ้าง

ข้อมูลที่ถูกขโมยนั้นแตกต่างกันไปตามแต่ละองค์กรที่ตกเป็นเหยื่อ แต่มีข้อมูลที่มีมูลค่าสูงหลายประเภทที่ปรากฏซ้ำๆ กันในระบบที่ถูกเจาะ:

• ข้อมูลที่ระบุตัวตนส่วนบุคคล (PII) ของนักเรียน อาจารย์ และเจ้าหน้าที่
• ข้อมูลผลการเรียน ข้อมูลการลงทะเบียน และข้อมูลความช่วยเหลือทางการเงิน ซึ่งสะท้อนให้เห็นถึงเหยื่อที่กระจุกตัวอยู่ในภาคการศึกษาอย่างหนักหน่วง
• ข้อมูลฝ่ายบุคคลและเงินเดือน จากระบบ PeopleSoft ขององค์กร รวมถึงข้อมูลสวัสดิการและเงินเดือน
• ไฟล์การกำหนดค่าระบบภายในและ Credential ที่ผู้โจมตีใช้ในการเคลื่อนย้าย lateral movement ภายในสภาพแวดล้อมที่ถูกบุกรุก

ขอบเขตที่กว้างขวางของข้อมูลที่ถูกขโมยนี้ สะท้อนให้เห็นถึงบทบาทของ PeopleSoft ในฐานะระบบ ERP แบบรวมศูนย์ที่รวบรวมข้อมูลละเอียดอ่อนจำนวนมหาศาลจากฝ่ายทรัพยากรบุคคล (HR), การเงิน, และการดำเนินงานของมหาวิทยาลัยไว้ในที่เดียว การเจาะระบบได้เพียงครั้งเดียวสามารถเปิดเผยข้อมูลส่วนบุคคลและข้อมูลสถาบันที่สะสมมานานหลายปีได้

การตอบสนองฉุกเฉินจาก Oracle

ในวันที่ 10 มิถุนายน 2026 Oracle ได้ทำลายตารางการออกแพตช์รายไตรมาสตามปกติของตัวเอง และเผยแพร่ คำเตือนด้านความปลอดภัยนอกตาราง (out-of-band) สำหรับ CVE-2026-35273 โดยบริษัทได้ปล่อยแพตช์สำหรับ PeopleTools 8.61 และ 8.62 ในวันเดียวกัน ซึ่งเป็นการเคลื่อนไหวที่เร่งด่วนอย่างไม่ธรรมดา และตอกย้ำให้เห็นว่ามีการใช้ช่องโหว่นี้ในการโจมตีจริงอย่างแพร่หลาย

คำแนะนำของ Oracle นั้นตรงไปตรงมา: "ช่องโหว่นี้สามารถถูกโจมตีจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน หากการโจมตีประสบความสำเร็จ อาจส่งผลให้เกิดการรันโค้ดจากระยะไกล (Remote Code Execution)" บริษัทได้กำชับให้ลูกค้าทุกรายใช้แพตช์นี้เป็น "มาตรการลดความเสี่ยงที่มีความสำคัญลำดับสูง"

CISA ออกโรงเตือนภัย

สองวันหลังจาก Oracle ออกคำแนะนำ เมื่อวันที่ 12 มิถุนายน 2026 หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่ม CVE-2026-35273 เข้าไปใน ฐานข้อมูลช่องโหว่ที่มีการโจมตีจริง (KEV) การดำเนินการนี้เป็นการบังคับให้หน่วยงานรัฐบาลกลางของสหรัฐฯ ต้องดำเนินการติดตั้งแพตช์ภายในกำหนดเวลาที่แน่นอน และเป็นสัญญาณเตือนที่ชัดเจนไปยังองค์กรทั้งภาครัฐและเอกชนว่าช่องโหว่นี้กำลังถูกโจมตีอย่างคึกคักและเป็นวงกว้าง

ศูนย์ความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติของแคนาดาก็ได้ออกคำแนะนำหมายเลข AV26-587 เมื่อวันที่ 11 มิถุนายน พร้อมเตือนถึงการโจมตีที่เกิดขึ้นจริง และแนะนำให้ผู้ดูแลระบบปฏิบัติตามคำแนะนำของ Oracle โดยทันที การตอบสนองที่ประสานงานกันจากหน่วยงานรัฐบาลหลายแห่ง สะท้อนให้เห็นถึงความร้ายแรงและขนาดของเหตุการณ์ครั้งนี้

ขั้นตอนลดความเสี่ยงเร่งด่วน

จากคำแนะนำของ Oracle, CISA, Rapid7 และผู้จำหน่ายระบบความปลอดภัยอื่นๆ องค์กรที่ใช้ PeopleSoft ควรดำเนินการดังต่อไปนี้โดยไม่รอช้า:

1. ติดตั้งแพตช์ฉุกเฉินของ Oracle ทันที สำหรับ PeopleTools 8.61 และ 8.62
2. ตรวจสอบเวอร์ชันที่ไม่ได้รับการสนับสนุนอีกต่อไป หากใช้เวอร์ชันที่อยู่นอกเหนือจากที่แพตช์ครอบคลุม ให้วางแผนอัปเกรดฉุกเฉินไปยังเวอร์ชันที่รองรับก่อนทำการติดตั้งแพตช์
3. ดำเนินการตรวจสอบทางนิติวิทยาศาสตร์ บนแอปพลิเคชันและเซิร์ฟเวอร์ฐานข้อมูลของ PeopleSoft เพื่อหาสัญญาณของ Web Shell, สคริปต์ที่ไม่ได้รับอนุญาต, หรือเครื่องมือขโมย Credential
4. เปลี่ยน Credential ทั้งหมด ที่จัดเก็บหรือเข้าถึงได้จากสภาพแวดล้อม PeopleSoft รวมถึงบัญชี Service Account และ String การเชื่อมต่อฐานข้อมูล
5. จำกัดการเข้าถึงเครือข่าย ไปยัง HTTP/HTTPS (พอร์ต 80 และ 443) ของ PeopleSoft จากอินเทอร์เน็ต หากเป็นไปได้ หรือวางระบบไว้หลัง VPN
6. เฝ้าระวังการถ่ายโอนข้อมูลขาออกที่ผิดปกติ จากเซิร์ฟเวอร์ PeopleSoft การถ่ายโอนข้อมูลจำนวนมากไปยัง IP ภายนอกที่ไม่คุ้นเคยเป็นสัญญาณบ่งชี้ที่ชัดเจนของการขโมยข้อมูลออกนอกระบบ

ตัวชี้วัดการบุกรุก (IoCs)

ข้อมูล IoCs ที่เผยแพร่ยังคงมีการพัฒนาอย่างต่อเนื่องตามการสืบสวนที่ดำเนินไป อย่างไรก็ตาม มีตัวชี้วัดหลายประเภทที่ปรากฏขึ้นจากรายงานในช่วงแรก:

• HTTP Request ที่ไม่ได้รับอนุญาต มุ่งเป้าไปที่ Endpoint ของ Updates Environment Management ใน PeopleTools
• Web Shell หรือไฟล์สคริปต์ที่ไม่คาดคิดปรากฏขึ้นบนแอปพลิเคชันเซิร์ฟเวอร์ของ PeopleSoft
• เหตุการณ์การยืนยันตัวตนที่ผิดปกติ จาก IP Address หรือ Service Account ที่ไม่คุ้นเคยหรือไม่ค่อยได้ใช้งาน
• การถ่ายโอนข้อมูลขาออกขนาดใหญ่ จากเซิร์ฟเวอร์ฐานข้อมูล PeopleSoft ไปยังปลายทางภายนอก
• บัญชี Service Account หรือ Scheduled Tasks ที่ถูกสร้างขึ้นใหม่ บนเซิร์ฟเวอร์ที่ถูกบุกรุก

นอกจากนี้ยังมีการเผยแพร่ IP Address ที่ผู้โจมตีใช้ควบคุมโดยเฉพาะ ตัวอย่างเช่น Pathlock รายงานว่าพบการเชื่อมต่อจาก 142.11.200.186–190, 108.174.202.99, และ 176.120.22.24 รวมถึงไฟล์เรียกค่าไถ่ที่ชื่อ README-IF-... ซึ่งองค์กรต่างๆ ควรมองหาใน Log ของ PeopleSoft

ShinyHunters และภาคการศึกษา: รูปแบบการโจมตีที่คุ้นเคย

แคมเปญ Oracle PeopleSoft นี้ไม่ใช่เรื่องเหนือความคาดหมายสำหรับ ShinyHunters กลุ่มนี้มีประวัติที่ถูกบันทึกไว้อย่างดีว่ามุ่งเป้าไปที่สถาบันการศึกษาเป็นพิเศษ โดยขับเคลื่อนด้วยปัจจัยเชิงกลยุทธ์หลายประการ:

• ชุดข้อมูลขนาดใหญ่ที่รวมศูนย์ มหาวิทยาลัยและวิทยาลัยใช้ระบบ PeopleSoft ขนาดใหญ่ที่รวบรวมข้อมูลส่วนบุคคล, ข้อมูลทางวิชาการ, และการเงินที่สะสมมานานหลายทศวรรษของคนหลายแสนคนเอาไว้
• วงจรการแพตช์ที่ล่าช้า สถาบันการศึกษาระดับอุดมศึกษามักใช้ PeopleSoft ในสภาพแวดล้อมที่ถูกปรับแต่งอย่างหนัก มีความถี่ในการอัปเดตที่ไม่สม่ำเสมอและล่าช้า ทำให้ตกเป็นเป้าหมายที่ง่ายดายเมื่อใดก็ตามที่มีช่องโหว่ใหม่ๆ เกิดขึ้น
• การขโมยข้อมูลเพื่อรีดไถ ไม่ใช่ Ransomware ShinyHunters มุ่งเน้นที่การขโมยข้อมูลและการรีดไถมากกว่าการปล่อย Ransomware ซึ่งเป็นโมเดลที่ให้ผลตอบแทนสูงเมื่อข้อมูลที่ถูกขโมยมีความละเอียดอ่อนพอที่จะเรียกค่าไถ่ได้
• การสแกนหาเป้าหมายแบบฉวยโอกาสเป็นวงกว้าง กลุ่มนี้สแกนทั่วทั้งภาคส่วนอย่างกว้างขวางมากกว่าที่จะมุ่งเป้าไปที่องค์กรรายใหญ่รายใดรายหนึ่ง ซึ่งเป็นเทคนิคที่ช่วยเพิ่มจำนวนเหยื่อได้สูงสุดเมื่อใดก็ตามที่ช่องโหว่วิกฤตอย่าง CVE-2026-35273 ปรากฏขึ้น

แคมเปญในเดือนมิถุนายน 2026 นี้เกิดขึ้นตามรอยการโจมตีของ ShinyHunters ครั้งก่อนๆ ที่มีต่อมหาวิทยาลัยและแพลตฟอร์มเทคโนโลยีการศึกษา ซึ่งกลุ่มนี้เคยขโมยข้อมูลนับล้านระเบียนและนำไปขายในฟอรัมบน Dark Web มาแล้ว การผสมผสานระหว่างช่องโหว่ RCE แบบซีโร่เดย์ใน PeopleTools กับภาคส่วนของเหยื่อที่มีช่องว่างด้านความปลอดภัยเรื้อรัง ได้พิสูจน์แล้วว่ามีประสิทธิภาพในการทำลายล้างอย่างร้ายแรง

สำหรับองค์กรที่กำลังประเมินความเสี่ยงของตนเอง สิ่งสำคัญอันดับแรกคือการติดตั้งแพตช์โดยด่วน นอกเหนือจากนั้น เหตุการณ์นี้ยังเป็นเครื่องเตือนใจว่าแพลตฟอร์ม ERP ขนาดใหญ่จำเป็นต้องมีระบบป้องกันหลายชั้น, การเฝ้าระวัง, และความสามารถในการตอบสนองอย่างรวดเร็วเช่นเดียวกับบริการสำคัญใดๆ ที่เปิดให้บริการบนอินเทอร์เน็ต