СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
11 июня
#ИБ

Хакеры из ShinyHunters взломали Oracle PeopleSoft у более чем 100 организаций по всему миру

Хакеры из ShinyHunters взломали Oracle PeopleSoft у более чем 100 организаций по всему миру

изображение: grok

Группировка ShinyHunters объявила о компрометации серверов Oracle PeopleSoft в более чем 100 организациях, охватив облачные и локальные развёртывания платформы. Первым об инциденте сообщило издание BleepingComputer. Пострадавшие компании уже начали получать требования выкупа от атакующих.

Oracle PeopleSoft применяется крупными корпорациями, государственными ведомствами и образовательными учреждениями для управления персоналом, расчёта зарплат, финансовых и закупочных операций. Хакеры использовали цепочку давно известных уязвимостей, и успех эксплуатации зависел от конкретной конфигурации каждого экземпляра системы. Среди жертв атакующие назвали Ноттингемский университет, который уже подтвердил факт инцидента и начал расследование.

Исследователь информационной безопасности Майкл Р. обнаружил несколько открытых интернет-каталогов с подготовкой атак, пока Oracle хранит молчание. В найденных файлах оказались инструменты удалённого управления MeshCentral, скрипты компрометации серверов и механизмы сброса учётных записей. Часть инфраструктуры использовала TLS-сертификаты с упоминанием домена azurenetfiles[.]net, ранее использовавшегося в операциях вымогательских группировок.

Анализ файлов .bash_history на скомпрометированных серверах показал применение специального скрипта для создания записок о выкупе с названием README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT. Скрипт изучал содержимое файла /etc/hosts для поиска связанных с PeopleSoft систем и пытался подключаться к ним через SSH. Для доступа атакующие задействовали распространённые административные учётные записи.

Среди используемых хакерами учётных записей фигурировали:

  • psoft, традиционно применяемая администраторами PeopleSoft;
  • oracle, стандартная для серверов с продуктами компании;
  • linuxadm, часто оставляемая открытой при типовой настройке Linux-серверов;
  • автоматическое переключение на SSH-ключи при недоступности парольной авторизации.

Похищенные сведения, по заявлениям ShinyHunters, охватывают широкий спектр данных. Среди украденной информации упоминаются сведения о студентах и абитуриентах, данные о финансовой помощи, медицинские записи, административная документация, домашние адреса, телефонные номера, электронная почта и даты рождения. Представитель группировки сообщил, что одной из первоначальных целей являлись серверы PeopleSoft, связанный с ФБР, но эта попытка завершилась провалом.

Специалисты рекомендуют организациям с развёрнутыми экземплярами Oracle PeopleSoft проверить журналы событий на предмет соединений с опубликованными адресами. При обнаружении подозрительной активности следует немедленно запустить процедуры реагирования на инцидент и временно отключить пострадавшие серверы от внешней сети. На момент публикации Oracle официально не прокомментировала заявления хакеров.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: