ShinyHunters знайшли нульовий день в Oracle PeopleSoft: масовий злам понад 100 організацій, освітній сектор під ударом – що відомо

Кампанія ShinyHunters: масштаб та цілі

Розслідування Google виявило широкомасштабну і водночас сфокусовану операцію. Угруповання ShinyHunters скомпрометувало близько 300 окремих інсталяцій PeopleSoft, розкиданих по більш ніж 100 організаціях у всьому світі . Команда GTIG зробила проактивний крок, повідомивши понад 100 з цих вразливих організацій ще під час активного вікна експлуатації .

Кампанія продемонструвала чітку закономірність у виборі цілей. 68% відомих жертв – це установи сектору вищої освіти, переважно коледжі та університети, більшість із яких знаходяться у Сполучених Штатах .

Для збереження контролю над системами атакуючі встановлювали агенти віддаленого управління MeshCentral, але маскували їх під легітимні служби Microsoft Azure, використовуючи назви файлів на кшталт meshagent64-azure-ops.exe. Командно-контрольна інфраструктура також імітувала сервіси Azure, використовуючи домен azurenetfiles.net . Викрадені дані були згодом опубліковані на сайті витоку даних ShinyHunters 9 червня 2026 року .

Ноттінгемський університет: ілюстрація масштабу катастрофи

Ноттінгемський університет став першою публічно підтвердженою жертвою, що дало змогу яскраво уявити наслідки зламу. Університет визнав кіберінцидент, який вплинув на його систему студентських записів, і підтвердив, що значний обсяг даних, який обчислюється десятками гігабайт, був скомпрометований .

Згідно з повідомленнями з кількох джерел, було викрадено від 454 600 до 500 000 особистих та академічних записів, що належали нинішнім та колишнім студентам . Скомпрометована інформація в основному стосувалася студентів та випускників, але університет зазначив, що банківські реквізити персоналу та дослідницькі дані не постраждали . Викрадені дані, які включали такі деталі, як домашні адреси, номери телефонів та дати народження, були швидко опубліковані на сайті витоку ShinyHunters та проіндексовані сервісом «Have I Been Pwned» .

Негайні заходи захисту без повноцінного патча

Хоча Oracle випустила позачергове попередження 10 червня 2026 року, початкові рекомендації містили лише тимчасові обхідні шляхи, а не повноцінне оновлення безпеки. Блог Google з кіберзагроз, узгоджуючись із рекомендаціями Oracle, радить організаціям негайно виконати наступні кроки для захисту вразливих інсталяцій PeopleSoft :

1. Вимкніть або видаліть сервіс EMHub: У конфігураціях з кількома серверами організації повинні відключити службу Environment Management Hub Service. Для розгортань на одному сервері рекомендується повністю видалити застосунок PSEMHUB .
2. Заблокуйте зовнішній доступ на периметрі мережі: Обмежте доступ до вразливих кінцевих точок, зокрема /PSEMHUB/* та /PSIGW/HttpListeningConnector, за допомогою мережевих екранів або списків контролю доступу .
3. Проведіть аудит логів доступу: Групи безпеки повинні негайно перевірити логи доступу PIA WebLogic на предмет POST-запитів до /PSEMHUB/hub та /PSIGW/HttpListeningConnector, які надходили із зовнішніх IP-адрес, щоб виявити історичні компрометації .
4. Пошук веб-оболонок: Перевірте файлову систему PeopleSoft на наявність неочікуваних файлів .jsp, які міг встановити зловмисник, особливо за шляхом /webserv/applications/peoplesoft/PSEMHUB.war/ .
5. Моніторинг індикаторів компрометації (IOC): Слідкуйте за появою підозрілих директорій з назвами logs, persistantstorage або scratchpad у шляхах PSEMHUB. Крім того, уважно перевіряйте будь-який вихідний SMB-трафік з серверів PeopleSoft, що може свідчити про викрадення даних .

Ці кроки є критичними тимчасовими заходами. Організації, які використовують PeopleTools версій 8.61 та 8.62, повинні в пріоритетному порядку застосувати офіційне позачергове оновлення безпеки від Oracle, щойно воно стане доступним, аби повністю усунути ризик подальшої експлуатації .