ShinyHunters 利用 Oracle PeopleSoft 零時差漏洞，大規模入侵上百所機構的來龍去脈

攻擊如何發生：修補前的時間軸

Google 旗下的威脅情報團隊 Mandiant，將此波攻擊歸因於其內部追蹤的代號 UNC6240，即外界熟知的 ShinyHunters。Mandiant 將攻擊者實際利用此漏洞的時間，界定在 2026 年 5 月 27 日至 6 月 9 日之間 。

由於 Oracle 直到 2026 年 6 月 10 日 才發布安全公告並釋出修補程式，這使得此漏洞在整個被積極利用的期間，都處於零時差狀態 。在那段空窗期，攻擊者大規模掃描網路上曝露的 PeopleSoft 執行個體，並利用 CVE-2026-35273 在未修補的伺服器上取得初始立足點。

成功滲透後，該集團便開始在受感染的環境中橫向移動。資安公司 Field Effect 的研究人員觀察到，攻擊者 結合了 CVE-2026-35273 與憑證竊取技術，甚至可能搭配其他漏洞，以最大化入侵範圍，並定位高價值的資料儲存庫 。這種多階段攻擊手法，讓 ShinyHunters 能夠竊取遠比單純「打了就跑」更為龐大的資料。

在竊取資料後，該集團便遵循其一貫手法：向受害者勒索贖金，威脅若不付款就公開機敏資料 。這種以勒索為優先，而非部署勒索病毒的策略，正是 ShinyHunters 的典型標誌。

什麼資料被偷了？

遭竊資料因受害機構而異，但在這波遭入侵的執行個體中，有幾類高價值資料反覆出現：

• 學生、教職員的 個人可識別資訊（PII） 。
• 學籍紀錄、註冊資料與獎助學金資訊，這反映了受害名單中教育機構的高度集中 。
• 企業 PeopleSoft 架構中的 人資與薪資資料，包含福利與薪資資訊 。
• 攻擊者用於在受感染環境中橫向移動的 內部系統設定檔與憑證 。

遭竊資料的廣度，反映了 PeopleSoft 作為一個集中式 ERP 系統的角色，它匯聚了橫跨人資、財務與校務運作的機敏紀錄 。單一系統遭入侵，就可能讓數年甚至數十年的個人與機構資料一覽無遺。

Oracle 的緊急應變

2026 年 6 月 10 日，Oracle 打破了其常規的季度修補週期，針對 CVE-2026-35273 發布了 一次性的緊急安全通報 。同日，該公司釋出了 PeopleTools 8.61 與 8.62 版的修補程式，此等極不尋常的緊急舉措，凸顯了漏洞正被積極且廣泛利用的事態嚴重性 。

Oracle 的公告直言不諱：「此漏洞可在未經身分驗證下被遠端利用。若成功利用，可能導致遠端程式碼執行」。該公司敦促所有客戶將套用此修補程式視為「高優先級的風險降低措施」。

CISA 敲響警鐘

在 Oracle 發布公告的兩天後，即 2026 年 6 月 12 日，美國 CISA 將 CVE-2026-35273 新增至其 已知被利用漏洞目錄（Known Exploited Vulnerabilities, KEV） 。這項措施引發了美國聯邦機構的強制性修補期限，並向所有公、私營機構發出強烈訊號：此漏洞正遭受積極且廣泛的攻擊。

加拿大網路安全中心也在 6 月 11 日發布了 AV26-587 號通報，警告此漏洞正被積極利用，並指示系統管理員立即參考 Oracle 的指引 。各國政府的協同應變，反映了此事件的嚴重性與規模。

緊急緩解措施

根據 Oracle、CISA、Rapid7 及其他資安廠商的指引，營運 PeopleSoft 的機構應立即採取以下行動：

1. 立即套用 Oracle 的緊急修補程式至 PeopleTools 8.61 與 8.62 版 。
2. 檢查是否使用不受支援的版本。 若營運的版本不在修補範圍內，請先規劃緊急升級至受支援的版本再進行修補。
3. 對 PeopleSoft 應用程式與資料庫伺服器進行鑑識審查，尋找是否存在網頁後門（webshell）、未經授權的腳本或憑證竊取工具的跡象 。
4. 輪換所有儲存於或可存取 PeopleSoft 環境的憑證，包含服務帳號與資料庫連線字串 。
5. 限制 PeopleSoft 的 HTTP/HTTPS 介面（80 與 443 連接埠）的對外網路連線，若無法完全避免，則應將其置於 VPN 後方 。
6. 監控來自 PeopleSoft 伺服器的異常對外資料傳輸量——對不熟悉的外部 IP 位址進行的大量傳輸，是資料外洩的強烈指標 。

入侵指標

隨著調查持續進行，已公布的入侵指標（IoCs）仍不斷更新。然而，從初期的報告中，已歸納出以下幾類可疑跡象：

• 針對 PeopleTools 中「更新環境管理」端點的 未經授權 HTTP 請求 。
• 在 PeopleSoft 應用程式伺服器上出現的 網頁後門或非預期的腳本檔案 。
• 來自陌生 IP 位址或極少登入的服務帳號所產生的 異常驗證事件 。
• 從 PeopleSoft 資料庫伺服器傳送至外部目的地的 大量對外資料傳輸 。
• 在遭入侵伺服器上 新建的服務帳號或排程任務 。

特定的攻擊者控制 IP 位址也已公開——例如，Pathlock 通報了來自 142.11.200.186–190、108.174.202.99 和 176.120.22.24 的連線——以及一個名為 README-IF-... 的勒索訊息檔案，各機構應在其 PeopleSoft 日誌中搜尋此檔案 。

ShinyHunters 與教育機構：一種反覆出現的模式

對 ShinyHunters 而言，這波針對 Oracle PeopleSoft 的攻擊並非偶發事件。該集團長久以來偏愛以教育機構為目標，其背後有幾個戰略性因素：

• 豐富且集中的資料集。 大學與學院營運著大規模的 PeopleSoft 部署，這些系統匯集了數十萬人橫跨數十年的個人、學術與財務資料 。
• 緩慢的修補週期。 高等教育機構常營運高度客製化的 PeopleSoft 環境，其更新節奏不一致且有延遲，這使它們在任何漏洞被武器化時，都成為易於下手的目標 。
• 勒索取代了加密勒索軟體。 ShinyHunters 專注於資料竊取與勒索，而非部署勒索軟體，當竊取的資料足夠敏感且足以換取贖金時，這種模式能帶來高報酬 。
• 大規模機會主義掃描。 該集團會對整個產業進行廣泛掃描，而非挑選單一高價值目標，這項技術能在每次像 CVE-2026-35273 這類嚴重漏洞浮現時，極大化其攻擊足跡 。

2026 年 6 月的這場攻擊，延續了 ShinyHunters 早年對大學與教育科技平台的攻擊模式——當時該集團竊取了數百萬筆紀錄，並在暗網論壇上兜售。一個存在於 PeopleTools 的零時差遠端程式碼執行漏洞，搭配一個長期存在安全漏洞的受害產業，其組合的破壞力已證實是毀滅性的。

對於仍在評估自身曝險程度的機構而言，當務之急就是修補。除此之外，此事件也提醒我們，大規模的 ERP 平台需要與任何對外服務的關鍵服務一樣，具備多層次的防禦、監控與快速應變能力。