ShinyHunters активно использовала уязвимость Oracle PeopleSoft до публикации исправлений

Mandiant и Google Threat Intelligence Group сообщили об активной кампании компрометации и вымогательства против инфраструктуры Oracle PeopleSoft. Атаки, наблюдавшиеся с 27 мая по 9 июня 2026 года, связывают с эксплуатацией критической уязвимости CVE-2026-35273, исправления и рекомендации по которой Oracle выпустила 10 июня.

Mandiant и Google Threat Intelligence Group сообщили о кампании, приписываемой UNC6240, также известной как ShinyHunters. Злоумышленники атаковали инфраструктуру Oracle PeopleSoft и, по оценке исследователей, использовали CVE-2026-35273 как уязвимость нулевого дня: активность фиксировалась с 27 мая по 9 июня 2026 года, а предупреждение Oracle вышло 10 июня.

CVE-2026-35273 затрагивает Oracle PeopleSoft Enterprise PeopleTools версий 8.61 и 8.62. Oracle описывает ее как удаленно эксплуатируемую без аутентификации уязвимость, которая может привести к выполнению кода; оценка CVSS 3.1 составляет 9.8.

По данным Google, уведомления были направлены более чем 100 организациям с потенциально уязвимыми внешними точками доступа. 68% этих организаций относятся к сектору высшего образования, включая университеты и колледжи, в основном в США.

Исследователи обнаружили инфраструктуру атакующих с открытыми каталогами, где находились подготовленные агенты MeshCentral, замаскированные под компоненты Microsoft Azure, командные истории и скрипт для бокового перемещения. Через MeshCentral злоумышленники выполняли команды на скомпрометированных узлах, изучали конфигурации PeopleSoft и WebLogic, а затем распространяли файл с сообщением о взломе и вымогательстве. Кампания, по данным GTIG, связана с публикацией украденных архивов на сайте утечек ShinyHunters 9 июня.

Организациям, использующим PeopleSoft, рекомендовано срочно применить рекомендации Oracle, отключить Environment Management Hub или ограничить доступ к PSEMHUB, если отключение невозможно, и заблокировать внешний доступ к /PSEMHUB/* и /PSIGW/HttpListeningConnector. Также следует проверить журналы WebLogic на внешние POST-запросы к этим путям, искать неожиданные JSP-файлы и другие артефакты в каталогах PSEMHUB, а также отслеживать исходящий SMB-трафик с серверов PeopleSoft к внешним адресам.