ShinyHunters khai thác lỗ hổng Zero-Day trên Oracle PeopleSoft, tấn công hơn 100 tổ chức

Oracle đã ghi nhận các nhà nghiên cứu từ TrendAI Zero Day Initiative và TrendAI Research vì đã báo cáo lỗ hổng này . Sự kết hợp chết người giữa vectơ tấn công qua mạng, độ phức tạp thấp, không cần xác thực và không cần tương tác người dùng đã biến lỗ hổng này thành mục tiêu hàng đầu cho việc khai thác hàng loạt ngay khi bị kẻ tấn công phát hiện.

Diễn biến cuộc tấn công: Dòng thời gian trước khi có bản vá

Chiến dịch này được Google Mandiant quy kết cho nhóm mà họ theo dõi với mã định danh UNC6240, được biết đến rộng rãi với tên gọi ShinyHunters. Mandiant xác định khoảng thời gian khai thác tích cực diễn ra từ ngày 27 tháng 5 năm 2026 đến ngày 9 tháng 6 năm 2026 .

Do Oracle chỉ công bố tư vấn bảo mật và phát hành bản vá vào ngày 10 tháng 6 năm 2026, lỗ hổng này vẫn là một lỗ hổng zero-day (chưa có bản vá) trong suốt thời gian bị khai thác . Trong khoảng thời gian đó, những kẻ tấn công đã quét Internet để tìm các phiên bản PeopleSoft bị lộ diện và sử dụng CVE-2026-35273 để có được chỗ đứng ban đầu trên các máy chủ chưa được vá.

Sau khi đột nhập, nhóm này đã di chuyển ngang qua các môi trường bị xâm nhập. Các nhà nghiên cứu bảo mật tại Field Effect lưu ý rằng những kẻ tấn công đã kết hợp CVE-2026-35273 với các kỹ thuật dựa trên thông tin xác thực và có thể cả các lỗ hổng khác để tối đa hóa quy mô xâm nhập và xác định vị trí các kho dữ liệu có giá trị . Cách tiếp cận nhiều giai đoạn này cho phép ShinyHunters trích xuất được nhiều dữ liệu hơn hẳn so với một vụ tấn công 'đập và cướp' đơn giản.

Sau khi rút dữ liệu, nhóm này tuân theo kịch bản quen thuộc của mình: yêu cầu nạn nhân trả tiền và đe dọa công bố thông tin bị đánh cắp nếu yêu cầu không được đáp ứng . Chiến thuật ưu tiên tống tiền này, thay vì triển khai mã độc tống tiền (ransomware), là một dấu hiệu đặc trưng trong các hoạt động của ShinyHunters.

Dữ liệu nào đã bị đánh cắp?

Dữ liệu bị đánh cắp khác nhau tùy theo tổ chức nạn nhân, nhưng một số danh mục giá trị cao lặp đi lặp lại trên các phiên bản bị xâm phạm:

• Thông tin nhận dạng cá nhân (PII) của sinh viên, giảng viên và nhân viên .
• Hồ sơ học tập, dữ liệu tuyển sinh và thông tin hỗ trợ tài chính, phản ánh sự tập trung cao độ của các nạn nhân trong lĩnh vực giáo dục .
• Dữ liệu nhân sự và tiền lương từ các hệ thống PeopleSoft doanh nghiệp, bao gồm thông tin về phúc lợi và lương bổng .
• Các tệp cấu hình hệ thống nội bộ và thông tin xác thực mà kẻ tấn công đã sử dụng để di chuyển ngang trong môi trường bị xâm nhập .

Phạm vi rộng lớn của dữ liệu bị đánh cắp phản ánh vai trò của PeopleSoft như một hệ thống ERP tập trung, tổng hợp hồ sơ nhạy cảm trên khắp các bộ phận nhân sự, tài chính và vận hành trường học . Một lần xâm nhập duy nhất có thể phơi bày nhiều năm dữ liệu cá nhân và tổ chức.

Phản ứng ngoài chu kỳ của Oracle

Vào ngày 10 tháng 6 năm 2026, Oracle đã phá vỡ chu kỳ vá lỗi định kỳ hàng quý của mình và công bố một cảnh báo bảo mật ngoài chu kỳ cho CVE-2026-35273 . Công ty đã phát hành các bản vá cho PeopleTools 8.61 và 8.62 ngay trong ngày, một động thái khẩn cấp bất thường cho thấy tình trạng khai thác đang diễn ra một cách tích cực và rộng rãi .

Cố vấn của Oracle rất thẳng thừng: "Lỗ hổng này có thể bị khai thác từ xa mà không cần xác thực. Nếu bị khai thác thành công, lỗ hổng này có thể dẫn đến thực thi mã từ xa" . Công ty kêu gọi tất cả khách hàng áp dụng bản vá như một "biện pháp giảm thiểu rủi ro ưu tiên cao" .

CISA gióng lên hồi chuông cảnh báo

Hai ngày sau khuyến cáo của Oracle, vào ngày 12 tháng 6 năm 2026, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm CVE-2026-35273 vào danh mục Lỗ hổng Bị Khai thác Đã biết (KEV) của mình . Động thái này kích hoạt các thời hạn vá lỗi bắt buộc đối với các cơ quan liên bang Hoa Kỳ và đóng vai trò như một tín hiệu mạnh mẽ cho tất cả các tổ chức, cả công và tư, rằng lỗ hổng này đang bị tấn công tích cực và rộng khắp.

Trung tâm An ninh mạng Canada cũng đã đưa ra khuyến cáo AV26-587 vào ngày 11 tháng 6, cảnh báo về việc khai thác tích cực và hướng dẫn các quản trị viên tham khảo ngay hướng dẫn của Oracle . Phản ứng phối hợp của chính phủ phản ánh mức độ nghiêm trọng và quy mô của sự cố.

Các bước giảm thiểu khẩn cấp

Dựa trên hướng dẫn từ Oracle, CISA, Rapid7 và các nhà cung cấp bảo mật khác, các tổ chức đang chạy PeopleSoft nên thực hiện các hành động sau ngay lập tức:

1. Áp dụng bản vá ngoài chu kỳ của Oracle cho PeopleTools 8.61 và 8.62 ngay lập tức .
2. Kiểm tra các phiên bản không được hỗ trợ. Nếu đang chạy phiên bản ngoài phạm vi được vá, hãy lên kế hoạch nâng cấp khẩn cấp lên bản phát hành được hỗ trợ trước khi vá.
3. Tiến hành rà soát pháp y các máy chủ ứng dụng và cơ sở dữ liệu PeopleSoft để tìm dấu hiệu của web shell, các tập lệnh trái phép hoặc công cụ thu thập thông tin xác thực .
4. Thay đổi tất cả thông tin xác thực được lưu trữ trong hoặc có thể truy cập từ môi trường PeopleSoft, bao gồm tài khoản dịch vụ và chuỗi kết nối cơ sở dữ liệu .
5. Hạn chế quyền truy cập mạng vào các giao diện HTTP/HTTPS PeopleSoft (cổng 80 và 443) từ Internet nếu có thể, hoặc đặt chúng phía sau VPN .
6. Giám sát các luồng dữ liệu ra bất thường bắt nguồn từ máy chủ PeopleSoft - các đợt truyền dữ liệu lớn đến các địa chỉ IP bên ngoài không xác định là một chỉ báo mạnh mẽ của việc rút dữ liệu .

Dấu hiệu xâm nhập (IoCs)

Các IoC (Indicators of Compromise) đã công bố vẫn đang phát triển khi các cuộc điều tra tiếp tục. Tuy nhiên, một số loại chỉ báo đã xuất hiện từ báo cáo ban đầu:

• Các yêu cầu HTTP trái phép nhắm vào điểm cuối Updates Environment Management trong PeopleTools .
• Web shell hoặc các tệp tập lệnh đáng ngờ xuất hiện trên máy chủ ứng dụng PeopleSoft .
• Các sự kiện xác thực bất thường từ các địa chỉ IP lạ hoặc tài khoản dịch vụ hiếm khi đăng nhập .
• Các đợt truyền dữ liệu ra ngoài lớn từ máy chủ cơ sở dữ liệu PeopleSoft đến các điểm đến bên ngoài .
• Các tài khoản dịch vụ hoặc tác vụ lên lịch mới được tạo trên các máy chủ bị xâm nhập .

Các địa chỉ IP cụ thể do kẻ tấn công kiểm soát cũng đã được công bố - ví dụ: Pathlock báo cáo các kết nối từ 142.11.200.186–190, 108.174.202.99 và 176.120.22.24 - cũng như một tệp tin tiền chuộc có tên README-IF-... mà các tổ chức nên tìm kiếm trong nhật ký PeopleSoft của mình .

ShinyHunters và ngành giáo dục: Một khuôn mẫu lặp đi lặp lại

Chiến dịch Oracle PeopleSoft không phải là một điều ngoại lệ đối với ShinyHunters. Nhóm này có sở thích được ghi nhận rõ ràng là nhắm vào các mục tiêu giáo dục, được thúc đẩy bởi một số yếu tố chiến lược:

• Tập dữ liệu tổng hợp phong phú. Các trường đại học và cao đẳng vận hành các hệ thống PeopleSoft khổng lồ, tổng hợp hàng thập kỷ hồ sơ cá nhân, học tập và tài chính của hàng trăm nghìn cá nhân .
• Chu kỳ vá lỗi chậm. Các tổ chức giáo dục đại học thường xuyên chạy các môi trường PeopleSoft được tùy chỉnh nhiều với nhịp độ cập nhật không nhất quán và bị trì hoãn, khiến chúng trở thành mục tiêu dễ dàng cho bất kỳ lỗ hổng nào bị vũ khí hóa .
• Tống tiền, không phải mã độc tống tiền. ShinyHunters tập trung vào việc đánh cắp và tống tiền dữ liệu thay vì triển khai ransomware, một mô hình mang lại lợi nhuận cao khi dữ liệu bị đánh cắp đủ nhạy cảm để buộc phải trả tiền .
• Quét cơ hội hàng loạt. Nhóm này quét rộng trên toàn bộ các lĩnh vực thay vì chọn lọc các mục tiêu giá trị cao riêng lẻ, một kỹ thuật tối đa hóa dấu chân của chúng bất cứ khi nào một lỗ hổng nghiêm trọng như CVE-2026-35273 xuất hiện .

Chiến dịch tháng 6 năm 2026 nối tiếp các cuộc tấn công trước đó của ShinyHunters vào các trường đại học và nền tảng công nghệ giáo dục, nơi nhóm này đã đánh cắp hàng triệu hồ sơ và bán chúng trên các diễn đàn web ngầm. Sự kết hợp giữa lỗ hổng thực thi mã từ xa (RCE) zero-day trong PeopleTools và một lĩnh vực nạn nhân có những khoảng trống bảo mật dai dẳng đã tỏ ra tàn khốc một cách hiệu quả.

Đối với các tổ chức vẫn đang đánh giá mức độ rủi ro của mình, ưu tiên trước mắt là vá lỗi. Ngoài ra, sự cố này như một lời nhắc nhở rằng các nền tảng ERP quy mô lớn đòi hỏi các lớp phòng thủ phân tầng, giám sát và khả năng phản ứng nhanh tương tự như bất kỳ dịch vụ quan trọng nào kết nối Internet.