Масовий злам університетів: хакери ShinyHunters експлуатували критичні діри в Oracle PeopleSoft

Для атаки хакери застосували так званий «ланцюжок гаджетів» (gadget chain) — техніку, що поєднує кілька відомих (старих) уразливостей з абсолютно новими, «нульовими» вразливостями в PeopleSoft . За словами самих зловмисників, яких цитує BleepingComputer, атака спрацьовувала не скрізь — успіх залежав від конфігурації конкретного сервера .

ShinyHunters діють за моделлю «плати або зливай» (pay-or-leak): якщо жертва відмовляється платити, викрадені дані публікуються на їхньому сайті-зливнику .

Освітній сектор — основна ціль

Основний удар припав на університети. ShinyHunters сконцентрували зусилля саме на закладах вищої освіти, продовжуючи тенденцію, започатковану на початку 2026 року атаками на платформи Canvas/Instructure та Salesforce Experience Cloud .

Ноттінгемський університет підтвердив факт зламу. Зловмисники проникли в університетську систему обліку студентів Campus Solutions, яка працює на базі Oracle PeopleSoft, наприкінці травня 2026 року . Опублікований ShinyHunters зразок викрадених даних містив інформацію про студентів, абітурієнтів, фінансову допомогу, імміграційні, медичні та адміністративні записи . Угруповання заявило про викрадення понад 40 ГБ конфіденційної інформації, включно з платіжними даними, реквізитами кредитних карток, даними про студентські фінанси та експортами з кампусного порталу, що охоплюють кампуси університету у Великій Британії, Малайзії та Китаї .

Зміна тактики: від телефонних дзвінків до нульових днів

Кампанія проти PeopleSoft знаменує собою значний тактичний поворот для ShinyHunters. Протягом більшої частини 2025 та початку 2026 року угруповання майже беззастережно покладалося на зловживання ідентифікацією та доступом — вішинг, соціальну інженерію, захоплення облікових записів Okta SSO та використання токенів OAuth . У звітах Mandiant та Google Threat Intelligence Group задокументовано, як ShinyHunters видавали себе за співробітників IT-підтримки, скеровували працівників на фішингові сайти, що імітували корпоративні портали, і таким чином викрадали облікові дані для єдиного входу (SSO) та коди багатофакторної автентифікації (MFA) .

У звіті Crosswalk прямо зазначалося, що ShinyHunters «майже ніколи не використовують вразливості програмного забезпечення», натомість зосереджуючись на обмані служби підтримки, компрометації MFA співробітників та токенів OAuth . Атака на PeopleSoft повністю вибивається з цієї моделі, адже тут вперше були використані справжні програмні експлойти, включно з нульовими днями .

Oracle та британська влада: реакція наразі обмежена

Станом на 10 червня 2026 року компанія Oracle не зробила жодної публічної заяви та не випустила жодного офіційного бюлетеня безпеки, який би стосувався саме цієї кампанії. Жодних патчів, пов'язаних із цією активністю, також не було анонсовано .

Офіційні органи Великої Британії, включно з Управлінням комісара з питань інформації (ICO) та правоохоронцями, також не робили жодних конкретних публічних коментарів щодо цього інциденту. Ноттінгемський університет діяв самостійно, поінформувавши студентів та тимчасово відключивши системи для розслідування .

Індикатори компрометації: що відомо

Спільнота кібербезпеки поки що не оприлюднила специфічні для цієї атаки на PeopleSoft індикатори компрометації (IoCs), як-от IP-адреси чи хеші файлів. Компанія Huntress опублікувала ширший профіль загрози з мережевими індикаторами, пов'язаними з інфраструктурою ShinyHunters, але вони стосуються попередніх SaaS-кампаній, а не саме експлуатації PeopleSoft .

У звіті Crosswalk зазначається, що типова тактика ShinyHunters, заснована на зловживанні ідентифікацією, рідко залишає по собі специфічні для вразливостей IoCs, що робить захисний пошук цієї конкретної кампанії складнішим .

Ескалація 2026 року: ShinyHunters переходять до масового вимагання

Кампанія проти PeopleSoft вписується в жорстоку річну ескалацію атак угруповання:

• Початок 2026: Кампанія AuraInspector використовувала неправильні конфігурації Salesforce Experience Cloud, жертвами якої, за заявами ShinyHunters, стали близько 400 організацій .
• Лютий 2026: Злам Wynn Resorts, внаслідок якого було викрадено понад 800 000 записів співробітників. Первинний доступ також було отримано через вразливість Oracle PeopleSoft .
• Квітень–травень 2026: Злам системи управління навчанням Canvas/Instructure — найбільший витік даних в історії освітнього сектору. ShinyHunters заявили про 275 мільйонів записів із приблизно 8 000–9 000 установ .
• Травень–червень 2026: Витік даних Charter Communications, що зачепив 4,9 мільйона клієнтських записів .
• Червень 2026: Кампанія проти Oracle PeopleSoft додала до списку ще 100+ організацій та 300+ інсталяцій .

Звіт Verizon Data Breach Investigations Report за 2026 рік підтвердив структурний зсув: вперше за 19 років експлуатація вразливостей випередила використання викрадених облікових даних як основний вектор атак . Перехід ShinyHunters до використання ланцюжків експлойтів, а не лише зловживання ідентифікацією, відповідає цій загальній тенденції і сигналізує, що масові паралельні кампанії проти широко поширених корпоративних платформ, ймовірно, триватимуть.

Для університетів урок гіркий. Той самий консолідований ланцюжок постачання програмного забезпечення, який зробив платформи на кшталт Canvas та PeopleSoft незамінними для дистанційного навчання та адміністрування, також перетворив їх на катастрофічні точки відмови, щойно зловмисники знаходять єдине вразливе місце .