ShinyHunters 利用 Oracle PeopleSoft 零日漏洞发起大规模攻击：超 100 家组织被入侵，教育行业首当其冲

值得注意的是，攻击活动发生在 2026 年 5 月 27 日至 6 月 9 日之间，而 Oracle 直到 6 月 10 日才发布安全公告。这意味着在整个攻击窗口期内，这个漏洞都是未被修复的“零日漏洞”，所有暴露在公网的系统都如同敞开了大门 。

攻击规模与目标：大学为何成为“靶心”？

谷歌的调查揭示了一场范围极广且高度聚焦的攻击行动。ShinyHunters 共计攻陷了约 300 个不同的 PeopleSoft 实例，波及全球超过 100 家组织 。GTIG 在攻击进行期间采取了积极主动的措施，向超过 100 家受影响的组织发出了安全警告 。

攻击目标呈现明显的行业特征：高达 68% 的已知受害者来自高等教育领域，主要是大学和学院，且大部分位于美国 。这或许是因为高校通常拥有庞大的学生数据库，且 IT 安全预算相对有限，成为了攻击者眼中易得手、高回报的目标。

为了在受害系统中保持长期控制，攻击者部署了 MeshCentral 远程管理代理，但将恶意文件名伪装成合法的微软 Azure 服务，如 meshagent64-azure-ops.exe。其命令与控制服务器域名 azurenetfiles.net 也模仿了 Azure 的文件存储服务，隐蔽性极强 。所有窃取的数据最终于 6 月 9 日被发布在 ShinyHunters 的暗网数据泄露网站上 。

诺丁汉大学事件：一次典型的数字劫难

在这轮攻击中，英国诺丁汉大学成为了首个公开确认的受害者，其遭遇直观地展现了此次数据泄露事件的严重性。该校公开承认其学生档案系统遭遇了网络事件，并确认有“大量”数据被非法访问 。

多方报告显示，被盗数据总量高达数十 GB，涉及约 45.46 万至 50 万名在校生和校友的个人及学术记录 。泄露信息包括家庭住址、电话号码、出生日期等高度敏感的个人隐私。尽管校方澄清教职员工银行信息和科研数据未受影响，但这起事件依然对大量学生造成了直接威胁 。目前，这些数据已在 ShinyHunters 的泄密网站上公开，并被数据泄露查询网站“Have I Been Pwned”收录索引，任何个人都可能查询到自己的信息是否已泄露 。

没有补丁怎么办：五步应急指南

虽然 Oracle 在 6 月 10 日发布了紧急安全公告，但其初步提供的只是缓解措施，而非完整的软件补丁。结合谷歌威胁情报博客和 Oracle 官方建议，任何使用受影响版本的组织都应立即采取以下步骤进行阻断和自查 ：

1. 停用或删除 EMHub 服务：对于多服务器部署的环境，应立即禁用环境管理枢纽服务；对于单服务器环境，建议完全卸载 PSEMHUB 应用程序 。
2. 网络边界拦截：在防火墙或访问控制列表（ACL）上，限制对 /PSEMHUB/* 和 /PSIGW/HttpListeningConnector 这两个关键路径的外部访问 。
3. 审计访问日志：安全团队应立即排查 PIA WebLogic 的访问日志，寻找任何来自外部 IP 地址、针对 /PSEMHUB/hub 和 /PSIGW/HttpListeningConnector 的 POST 请求，以判断是否曾遭入侵 。
4. 扫描 Webshell 后门：检查 PeopleSoft 文件系统中，特别是 /webserv/applications/peoplesoft/PSEMHUB.war/ 目录下，是否存在可疑的 .jsp 脚本文件 。
5. 监控失陷指标：密切关注 PSEMHUB 相关路径下是否出现名为 logs、persistantstorage 或 scratchpad 的可疑文件夹。同时，审查从 PeopleSoft 服务器发出的任何异常 SMB 外联流量，这可能是数据被大量窃取的信号 。

这些措施是关键的应急止血手段。对于所有运行 PeopleTools 8.61 和 8.62 版本的组织，当务之急是在 Oracle 推出完整修复补丁后，立即优先应用该更新，从根源上消除风险 。