ShinyHunters атакует Oracle PeopleSoft через уязвимость нулевого дня

Активная campaign по компрометации Oracle PeopleSoft связана с UNC6240, more known as ShinyHunters: злоумышленники использовали критическую Remote Code Execution уязвимость CVE-2026-35273 с оценкой CVSS 9.8 в компоненте Environment Management, нацелившись на Environment Management Hub (PSEMHUB).

По данным отчета, эксплуатация велась с 27 мая по 9 июня 2026 года — то есть до публикации рекомендации Oracle, что позволяет классифицировать инцидент как уязвимость zero-day. Наибольшее число пострадавших организаций пришлось на сектор высшего образования.

Как работала атака

Атакующие применяли custom MeshCentral agents, замаскированные под legitimate cloud services, чтобы выполнять administrative commands и запускать внутренний скрипт перемещения victim_abbreviation_fanout.sh. Этот скрипт использовался для credential spraying против внутренних хостов с применением hardcoded списка usernames и passwords для доступа по SSH.

После получения доступа злоумышленники размещали defacement message в ключевых каталогах скомпрометированных систем. Кроме того, их C2 infrastructure включала заранее подготовленные Windows MeshCentral binaries, которые передавали данные на сервер с доменом, имитирующим legitimate Microsoft Azure services.

Среда подготовки, по данным исследования, была развернута на Python SimpleHTTP servers, обеспечивавших доступ к файлам злоумышленников и command history.

Что делали злоумышленники внутри сети

Группа демонстрировала возможности по внутренней разведке и целенаправленно изучала Oracle PeopleSoft configurations. Это указывает не только на первоначальный доступ, но и на попытки закрепиться в инфраструктуре и расширить контроль над сетевой средой.

• выполнение internal reconnaissance;
• поиск и анализ Oracle PeopleSoft configurations;
• credential spraying по внутренним хостам;
• размещение defacement message после компрометации;
• использование MeshCentral для удаленного управления.

Масштаб инцидента и последствия

Организациям было направлено предупреждение об активной угрозе: уведомления получили более 100 учреждений, преимущественно из сферы высшего образования. Часть из них смогла своевременно нейтрализовать риски, однако другие столкнулись с утечками данных.

По информации отчета, конфиденциальная информация была опубликована на data leak site ShinyHunters.

Рекомендации по защите

Авторы отчета указывают, что организациям, использующим Oracle PeopleSoft, необходимо немедленно принять меры по снижению риска повторной компрометации.

• Отключить Environment Management Hub или ограничить его внешний доступ.
• Провести тщательную проверку file system на наличие unauthorized files.
• Особое внимание уделить .jsp-файлам и любому unexpected content в каталогах путей PSEMHUB.
• Наладить monitoring outgoing traffic для выявления аномальной активности.
• Организовать detection of web shells в указанных каталогах.

Вывод отчета однозначен: эксплуатация критической уязвимости, использование masquerading infrastructure и последующее credential spraying создали для организаций в сфере образования высокий риск не только первичного взлома, но и утечки данных.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.