Lỗ hổng Zero-Day Oracle PeopleSoft bị ShinyHunters khai thác hàng loạt, tấn công hơn 100 tổ chức

Chiến dịch của ShinyHunters: Quy mô và Mục tiêu

Cuộc điều tra của Google đã hé lộ một chiến dịch có quy mô rộng và có chủ đích rõ ràng. Nhóm ShinyHunters đã xâm phạm khoảng 300 phiên bản PeopleSoft riêng biệt trải rộng trên hơn 100 tổ chức trên toàn cầu . Đáng chú ý, GTIG đã chủ động liên hệ để thông báo cho hơn 100 tổ chức trong số này trong khi chiến dịch khai thác vẫn đang diễn ra .

Chiến dịch cho thấy một mô hình nhắm mục tiêu rất rõ ràng. Có tới 68% số nạn nhân được biết đến là các thực thể trong lĩnh vực giáo dục đại học, chủ yếu là các trường cao đẳng và đại học, với phần lớn đặt trụ sở tại Hoa Kỳ .

Để duy trì sự hiện diện và kiểm soát trong hệ thống nạn nhân, những kẻ tấn công đã triển khai các tác nhân quản lý từ xa MeshCentral, nhưng ngụy trang tên tệp thành các dịch vụ hợp pháp của Microsoft Azure với những cái tên như meshagent64-azure-ops.exe. Cơ sở hạ tầng điều khiển và kiểm soát (C2) cũng mô phỏng Azure bằng cách sử dụng tên miền azurenetfiles.net . Dữ liệu bị đánh cắp sau đó đã được công bố trên Trang web Rò rỉ Dữ liệu (DLS) của ShinyHunters vào ngày 9 tháng 6 năm 2026 .

Đại học Nottingham: Bài học thực tế về hậu quả

Đại học Nottingham đã trở thành nạn nhân đầu tiên được xác nhận công khai, minh họa rõ nét cho hậu quả của vụ xâm phạm. Trường đại học này đã thừa nhận một sự cố mạng ảnh hưởng đến hệ thống hồ sơ sinh viên của mình, xác nhận rằng một lượng dữ liệu đáng kể, lên tới hàng chục gigabyte, đã bị truy cập trái phép .

Các báo cáo từ nhiều nguồn tin chỉ ra rằng từ 454.600 đến 500.000 hồ sơ cá nhân và học thuật của sinh viên hiện tại và cựu sinh viên đã bị đánh cắp . Dữ liệu bị xâm phạm chủ yếu bao gồm hồ sơ sinh viên và cựu sinh viên, nhưng trường đại học cũng lưu ý rằng thông tin chi tiết ngân hàng của nhân viên và dữ liệu nghiên cứu không nằm trong số bị vi phạm . Dữ liệu bị đánh cắp, bao gồm các chi tiết như địa chỉ nhà, số điện thoại và ngày sinh, đã nhanh chóng được công bố trên trang web rò rỉ của ShinyHunters và được lập chỉ mục bởi dịch vụ kiểm tra rò rỉ dữ liệu “Have I Been Pwned” .

Biện pháp giảm thiểu tức thời khi chưa có bản vá chính thức

Mặc dù Oracle đã phát hành một cảnh báo an ninh khẩn cấp vào ngày 10 tháng 6 năm 2026, nhưng hướng dẫn ban đầu chỉ bao gồm các biện pháp thay thế tạm thời thay vì một bản sửa lỗi phần mềm hoàn chỉnh. Blog tình báo mối đe dọa của Google, cùng với khuyến cáo của Oracle, đề xuất các tổ chức thực hiện ngay các bước sau để bảo vệ các phiên bản PeopleSoft dễ bị tấn công :

1. Vô hiệu hóa hoặc Gỡ bỏ Dịch vụ EMHub: Trong các cấu hình đa máy chủ, các tổ chức nên vô hiệu hóa Dịch vụ Trung tâm Quản lý Môi trường (Environment Management Hub Service). Đối với các triển khai máy chủ đơn, khuyến nghị là gỡ bỏ hoàn toàn ứng dụng PSEMHUB .
2. Chặn Truy cập Từ Bên ngoài tại Vành đai Mạng: Hạn chế quyền truy cập vào các điểm cuối đã bị khai thác, cụ thể là /PSEMHUB/* và /PSIGW/HttpListeningConnector, bằng cách sử dụng tường lửa mạng hoặc danh sách kiểm soát truy cập (ACL) .
3. Kiểm tra Nhật ký Truy cập: Các nhóm bảo mật nên kiểm tra ngay lập tức nhật ký truy cập PIA WebLogic để tìm bất kỳ yêu cầu POST nào đến các đường dẫn /PSEMHUB/hub và /PSIGW/HttpListeningConnector có nguồn gốc từ các địa chỉ IP bên ngoài, nhằm xác định các vụ xâm phạm trong quá khứ .
4. Tìm kiếm Web Shell: Rà soát hệ thống tệp của PeopleSoft để tìm các tệp .jsp không mong muốn mà kẻ tấn công có thể đã cài vào, đặc biệt là trong thư mục /webserv/applications/peoplesoft/PSEMHUB.war/ .
5. Giám sát các Dấu hiệu Xâm phạm (IOCs): Theo dõi sự xuất hiện của các thư mục đáng ngờ có tên như logs, persistantstorage, hoặc scratchpad trong các đường dẫn của PSEMHUB. Ngoài ra, cần giám sát chặt chẽ mọi lưu lượng SMB ra ngoài từ các máy chủ PeopleSoft, vì đây có thể là dấu hiệu của việc đánh cắp dữ liệu .

Các bước này là những biện pháp tạm thời quan trọng. Các tổ chức đang chạy phiên bản PeopleTools 8.61 và 8.62 cần ưu tiên áp dụng bản cập nhật bảo mật khẩn cấp chính thức của Oracle ngay khi có sẵn để khắc phục hoàn toàn nguy cơ bị khai thác thêm .