ShinyHunters атакует PeopleSoft через CVE-2026-35273

Группа ShinyHunters с конца мая 2026 года эксплуатирует критическую уязвимость удалённого выполнения кода без аутентификации в PeopleSoft Enterprise PeopleTools, отслеживаемую как CVE-2026-35273. Несмотря на то, что Oracle устранила проблему 10 июня 2026 года, атаки, по сообщениям, продолжились.

По имеющимся данным, злоумышленники скомпрометировали 110 образовательных организаций США и также нацелились на дополнительные жертвы в государственном и коммерческом секторах, включая European Council. Ситуация показывает, что устранение уязвимости само по себе не гарантирует безопасность: организациям необходимо не только закрывать дыру, но и проверять, не было ли компрометации ранее.

Как действовала группа

Для обхода обнаружения ShinyHunters применяла тактику living-off-the-land, используя легитимные инструменты и инфраструктуру в собственных целях. В частности, исследователи отмечают использование MeshCentral — инструмента удалённого администрирования, замаскированного под службы Microsoft Azure для операций command-and-control.

Такая маскировка позволяла скрывать вредоносный трафик под обычные облачные операции, из-за чего начальная фаза эксплуатации, вероятно, оставалась незамеченной.

Следы в раскрытых каталогах

Расследования, связанные с раскрытыми каталогами, привязанными к ShinyHunters, выявили характерные артефакты. Среди них — файлы с именами .bash_history, что указывает на использование:

• предварительно сконфигурированных бинарных файлов агента Windows;
• истории команд, включавшей установку сервера MeshCentral;
• попыток перемещения внутри компании по SSH;
• подготовки к возможной exfiltration данных.

Почему важен ретроспективный поиск

В условиях подобных кампаний критически важно быстро блокировать Indicators of Compromise (IOCs) и проверять исторические журналы на предмет прежних взаимодействий с этими индикаторами. Для этого могут использоваться инструменты Retroactive Threat Detection (RTD), которые автоматически формируют запросы по IOCs для более чем 20 платформ, делая упор на индикаторы, связанные с критической инфраструктурой.

В числе примеров — проверка сетевых подключений к IP-адресам, связанным с кампанией ShinyHunters, в том числе к диапазону 142.11.200.186-190 и домену azurenetfiles.net. Мониторинг этих индикаторов помогает определить, происходили ли какие-либо взаимодействия с известной инфраструктурой C2.

Что делать организациям

Если запросы не дают результатов, организации могут предположить, что не пострадали. Однако этого недостаточно: активные меры обнаружения и реагирования, включая behavioral hunting, остаются жизненно важными.

Как отмечается в отчёте, наборы правил и сценариев, подготовленные охотниками за угрозами, помогают аналитикам распознавать поведение ShinyHunters даже при изменении индикаторов в разных атаках. В качестве примера приводится нестандартная SMB-коммуникация, которая связывалась сразу с несколькими группами злоумышленников и подчёркивает необходимость комплексного поведенческого подхода.

Устранение уязвимостей решает непосредственные риски, но не отвечает на вопрос, был ли инцидент до исправления.

Именно поэтому акцент на ретроспективном обнаружении позволяет организациям установить, подвергались ли они компрометации до установки патча, и оценить масштаб возможного нарушения.

Вывод

Кампания ShinyHunters наглядно показывает, что быстрый патчинг — это лишь первый шаг. Для защиты от подобных угроз организациям необходимы:

• оперативная блокировка IOCs;
• проверка исторических журналов;
• поведенческий анализ активности;
• использование RTD-инструментов;
• согласованная работа CTI и SOC.

Для команд, испытывающих нехватку ресурсов, такие инструменты особенно ценны: они упрощают анализ угроз и позволяют быстрее реагировать на кампании, подобные ShinyHunters.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.