ShinyHunters зламали Oracle PeopleSoft: понад 100 організацій стали жертвами атаки нульового дня

Oracle подякувала дослідникам з TrendAI Zero Day Initiative та TrendAI Research за виявлення цієї вразливості . Критичне поєднання мережевого вектора атаки, низької складності, відсутності автентифікації та потреби у взаємодії з користувачем зробило її ідеальною мішенню для масової експлуатації, щойно про неї дізналися зловмисники.

Як розгорталася атака: Хронологія до виходу патча

Google Mandiant приписує цю кампанію угрупованню, яке вона відстежує як UNC6240 та яке публічно відоме як ShinyHunters. За даними Mandiant, активна експлуатація тривала з 27 травня до 9 червня 2026 року .

Оскільки Oracle опублікувала своє попередження та випустила патч лише 10 червня 2026 року, вразливість залишалася «нульового дня» протягом усього періоду активної атаки . У цей час зловмисники сканували інтернет у пошуках відкритих інсталяцій PeopleSoft і використовували CVE-2026-35273 для отримання початкового доступу до незахищених серверів.

Отримавши доступ, зловмисники рухалися скомпрометованим середовищем. Дослідники компанії Field Effect зазначили, що атакуючі поєднували CVE-2026-35273 з методами на основі облікових даних та можливо іншими вразливостями, щоб максимально збільшити масштаб компрометації та знайти сховища цінних даних . Такий багатоетапний підхід дозволив ShinyHunters отримати набагато більше даних, ніж проста атака типу «вкрав і втік».

Після викрадення даних угруповання діяло за своєю стандартною схемою: вони вимагали від жертв викуп, погрожуючи опублікувати вкрадену інформацію . Ця тактика, орієнтована на вимагання за мовчання, є візитівкою операцій ShinyHunters.

Які дані було викрадено

Тип вкрадених даних відрізнявся залежно від організації-жертви, але кілька категорій високоцінних даних повторювалися в усіх зламаних інсталяціях:

• Персональна ідентифікаційна інформація (PII) студентів, викладачів та співробітників .
• Академічні записи, дані про зарахування та фінансову допомогу, що свідчить про велику кількість жертв саме в освітньому секторі .
• Кадрові та зарплатні дані з корпоративних систем PeopleSoft, включаючи інформацію про пільги та оклади .
• Файли конфігурації внутрішньої системи та облікові дані, які зловмисники використовували для переміщення скомпрометованим середовищем .

Масштаб вкрадених даних відображає роль PeopleSoft як централізованої ERP-системи, яка агрегує конфіденційні записи у відділах кадрів, фінансів та управління університетським містечком . Одна-єдина компрометація може розкрити роки персональних та інституційних даних.

Позачергова реакція Oracle

10 червня 2026 року Oracle відійшла від свого регулярного квартального циклу оновлень і опублікувала позачергове попередження безпеки для CVE-2026-35273 . Компанія випустила патчі для PeopleTools 8.61 та 8.62 того ж дня, що є надзвичайно терміновим кроком, який підкреслює активне та широкомасштабне використання вразливості .

У своєму повідомленні Oracle була відвертою: «Ця вразливість може бути використана віддалено без автентифікації. У разі успішної експлуатації вона може призвести до віддаленого виконання коду» . Компанія закликала всіх клієнтів застосувати патч як «високопріоритетний захід зі зниження ризику» .

CISA б'є на сполох

Через два дні після повідомлення Oracle, 12 червня 2026 року, Агентство з кібербезпеки та захисту інфраструктури США (CISA) додало CVE-2026-35273 до свого каталогу відомих експлуатованих вразливостей (KEV) . Це доповнення встановило обов'язкові терміни встановлення патчів для федеральних агентств США і стало потужним сигналом для всіх організацій, що вразливість перебуває під активною та масованою атакою.

Канадський центр кібербезпеки також випустив попередження AV26-587 11 червня, попереджаючи про активну експлуатацію та негайно скеровуючи адміністраторів до рекомендацій Oracle . Скоординована реакція урядів відображає серйозність та масштаб інциденту.

Термінові кроки для захисту

Керуючись рекомендаціями Oracle, CISA, Rapid7 та інших постачальників рішень безпеки, організації, які використовують PeopleSoft, повинні негайно виконати такі дії:

1. Негайно встановіть позачерговий патч для PeopleTools 8.61 та 8.62 .
2. Перевірте наявність непідтримуваних версій. Якщо ви використовуєте версію, що не входить до переліку виправлених, заплануйте екстрене оновлення до підтримуваного релізу перед встановленням патча.
3. Проведіть криміналістичний аналіз серверів додатків і баз даних PeopleSoft на наявність ознак веб-оболонок, несанкціонованих скриптів або інструментів для викрадення облікових даних .
4. Змініть усі облікові дані, що зберігаються або доступні з середовищ PeopleSoft, включаючи сервісні облікові записи та рядки підключення до баз даних .
5. Обмежте мережевий доступ до HTTP/HTTPS-інтерфейсів PeopleSoft (порти 80 та 443) з інтернету, де це можливо, або розмістіть їх за VPN .
6. Відстежуйте аномальні вихідні передачі даних з серверів PeopleSoft — великі обсяги передач на незнайомі зовнішні IP-адреси є вагомим індикатором витоку даних .

Індикатори компрометації (IoCs)

Опубліковані індикатори компрометації все ще оновлюються в міру розслідувань. Однак з ранніх звітів випливають кілька категорій індикаторів:

• Неавторизовані HTTP-запити, націлені на компонент «Updates Environment Management» в PeopleTools .
• Веб-оболонки (web shells) або неочікувані файли скриптів, що з'являються на серверах додатків PeopleSoft .
• Незвичайні події автентифікації з незнайомих IP-адрес або сервісних облікових записів, які рідко використовуються .
• Великі вихідні передачі даних з серверів баз даних PeopleSoft на зовнішні адреси .
• Новостворені сервісні облікові записи або заплановані завдання на скомпрометованих серверах .

Також були опубліковані конкретні IP-адреси, контрольовані зловмисниками — наприклад, Pathlock повідомив про з'єднання з 142.11.200.186–190, 108.174.202.99 та 176.120.22.24 — а також файл з вимогою викупу з назвою README-IF-..., який організаціям слід шукати у своїх журналах PeopleSoft .

ShinyHunters та освітній сектор: закономірність, що повторюється

Кампанія проти Oracle PeopleSoft не є винятком для ShinyHunters. Угруповання має добре задокументовану схильність до освітніх цілей, зумовлену кількома стратегічними факторами:

• Багаті, агреговані набори даних. Університети та коледжі використовують величезні системи PeopleSoft, які консолідують десятиліття персональних, академічних та фінансових записів сотень тисяч людей .
• Повільні цикли оновлень. Заклади вищої освіти часто використовують сильно кастомізовані середовища PeopleSoft з непослідовним та запізнілим встановленням оновлень, що робить їх легкою мішенню для будь-якої вразливості .
• Вимагання, а не шифрування. ShinyHunters зосереджуються на викраденні даних та вимаганні, а не на розгортанні програм-вимагачів. Така модель приносить високий дохід, коли вкрадені дані достатньо чутливі, щоб виправдати викуп .
• Масове опортуністичне сканування. Угруповання сканує цілі сектори, а не окремі цілі високої вартості — техніка, яка максимізує їхнє охоплення щоразу, коли з'являється критична вразливість на кшталт CVE-2026-35273 .

Кампанія червня 2026 року є продовженням попередніх атак ShinyHunters на університети та освітні технологічні платформи, під час яких угруповання викрало мільйони записів і продавало їх на форумах у даркнеті. Комбінація вразливості нульового дня з віддаленим виконанням коду в PeopleTools і сектору жертв із постійними прогалинами в безпеці виявилася нищівно ефективною.

Для організацій, які все ще оцінюють свій рівень загрози, першочерговим завданням є встановлення патча. Крім того, цей інцидент служить нагадуванням про те, що великомасштабні ERP-платформи потребують такого ж рівня багатошарового захисту, моніторингу та швидкого реагування, як і будь-який інший критичний сервіс, доступний з інтернету.