هجوم ShinyHunters على أوراكل بيبولسوفت: كيف استغل ثغرة صفرية لسرقة بيانات الجامعات

منذ أيام، كشف باحثون أمنيون عن حملة اختراق واسعة استهدفت مؤسسات أكاديمية كبرى عبر استغلال ثغرة أمنية غير مصححة في نظام أوراكل بيبولسوفت.Group tracked as UNC6240، المعروف باسم ShinyHunters، نفذ هذه الحملة بين 27 مايو و9 يونيو 2026، حيث استغل ثغرةzero-day في PeopleSoft Enterprise PeopleTools (CVE-2026-35263) لاختراق الأنظمة وسرقة البيانات قبل أن تصدر أوراكل تحذيرًا رسميًا في 10 يونيو. هذه الثغرة، المصنفة بدرجة خطر 9.8 من 10، تسمح بتنفيذ تعليمات برمجية عن بُعد دون الحاجة إلى تسجيل دخول أو تفاعل من المستخدم، مما يجعلها واحدة من أخطر الثغرات التي استغلتها مجموعات القرصنة مؤخرًا.

ما هي ثغرة CVE-2026-35263 وكيف تعمل؟

الثغرة CVE-2026-35263 هي ثغرة تنفيذ تعليمات برمجية عن بُعد (RCE) في نظام أوراكل بيبولسوفت، تحديدًا في مكون Updates Environment Management ضمن PeopleTools. هذا المكون مسؤول عن إدارة بيئات النظام، ويعد نقطة دخول رئيسية للمهاجمين إذا كان مدخلا Environment Management Hub (PSEMHUB) متاحًا عبر الإنترنت. لا تتطلب الثغرة أي تسجيل دخول مسبق أو تفاعل من المستخدم، بل يكفي وصول المهاجم إلى النظام عبر بروتوكول HTTP ليتمكن من تنفيذ أوامر خبيثة على الخادم المستهدف.

أوضحت أوراكل أن الإصدارات 8.61 و8.62 من PeopleTools متأثرة بهذه الثغرة، لكنها أشارت إلى أن الإصدارات الأقدم وغير المدعومة قد تكون معرضة同样 للخطر. الجدير بالذكر أن أوراكل اعتمدت على باحثين من TrendAI Zero Day Initiative وTrendAI Research لإبلاغها بهذه الثغرة، مما يدل على أهمية التعاون بين الشركات والمجتمع الأمني في اكتشاف الثغرات قبل استغلالها من قبل المهاجمين. من جهة أخرى، لم تحدد أوراكل بعد ما إذا كانت قد رصدت حالات استغلال للثغرة قبل إصدارها للتحذير الرسمي، مما يزيد من خطورة الموقف.

كيف نفذت مجموعة ShinyHunters هجومها؟

كشفت التحقيقات الأمنية أن مجموعة ShinyHunters نفذت هجومها بطريقة منظمة ودقيقة، حيث استغلت الثغرة لاختراق أنظمة المؤسسات المستهدفة، بما في ذلك جامعات كبرى. وفقًا لبيانات Mandiant، التي تتبع المجموعة تحت اسم UNC6240، بدأت الحملة في 27 مايو وانتهت في 9 يونيو، قبل يوم واحد من إصدار أوراكل لتحذيرها الرسمي. during this window, the attackers moved quickly to compromise exposed PeopleSoft instances, steal data, and prepare extortion demands.

أظهرت الأدلة التي جمعتها Mandiant أن المهاجمين تركوا بعض خوادمهم مكشوفة عن طريق الخطأ، مما سمح للباحثين الأمنيين بتحليل أدواتهم وتقنياتهم. اكتشف الباحث @nahamike01 أدلة مفتوحة على الإنترنت، بما في ذلك خوادم تعمل بنظام Python's SimpleHTTP server على المنفذ 8888. هذه الخوادم احتوت على ملفاتステージية (staging files) تشمل سجلات الأوامر (.bash_history) وملفات إدارة عن بعد (remote management agents) تم تصميمها لتشبه برامج Microsoft Azure. كما عثر على skript جانبي (lateral-movement script) يحمل اسم [victim]_fanout.sh، تم استخدامه للانتشار داخل الشبكة المستهدفة عبر بروتوكول SSH باستخدام قائمة مسبقة التحديد من أسماء المستخدمين وكلمات المرور.

تقنيات الهجوم والتخفي المستخدمة

للتخفي وتجنب الكشف، استخدم المهاجمون تقنيات متقدمة لإخفاء أنشطتهم. فقد تم تصميم الوكلاء (agents)Remote-management agents) ليبدو وكأنها جزء من خدمات Microsoft Azure، مما يجعلها أقل إثارة للشبهة داخل بيئات الشركات التي تعتمد بشكل كبير على حلول مايكروسوفت. كما تم استخدام مجال azurenetfiles.net، الذي يشبه اسم خدمة Azure NetApp Files، كقاعدة قيادة وتحكم (C2) للاتصالات بين الأجهزة المخترقة والمهاجمين.

أظهر تحليل الأوامر المسجلة أن المهاجمين قاموا بضغط البيانات المسروقة باستخدام تقنية zstd، وهي تقنية ضغط حديثة وفعالة، قبل إرسالها عبر اتصالات SSH إلى الخادم الذي يستضيف نسخة عامة من موقع ShinyHunters لابتزاز الضحايا. كما ترك المهاجمون ملفًا نصيًا يحمل اسم README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT في أدلة PeopleSoft، مما يدل على نيتهم الواضحة في إخضاع الضحايا للابتزاز بعد سرقة البيانات. هذه.File يعد بمثابة رسالة واضحة للمؤسسات المستهدفة: إما الدفع أو نشر البيانات المسروقة علنًا.

الجامعات الأكثر تضررًا وكيف تأثرت؟

استهدفت حملة ShinyHunters بشكل رئيسي المؤسسات الأكاديمية، بما في ذلك جامعات كبرى في الولايات المتحدة وأوروبا. وفقًا لتقارير Mandiant، تم إخطار أكثر من 100 منظمة بأن عناوين IP الخاصة بها قد تم رصدها في اتصالات مشبوهة مرتبطة بالهجوم. ومع ذلك، لم تعلن معظم الجامعات عن تعرضها للاختراق بشكل علني، مما قد يعكس إما عدم الكشف عن الحوادث أو عدم اكتشافها بعد.

من المحتمل أن يكون الدافع وراء استهداف الجامعات هو القيمة العالية للبيانات التي تحتفظ بها، مثل معلومات الطلاب، السجلات الأكاديمية، البيانات المالية، وربما حتى الأبحاث الحساسة. هذه البيانات تعتبر ثمينة للغاية في السوق السوداء، سواء لبيعها أو لاستخدامها في عمليات ابتزاز. علاوة على ذلك، قد تكون الجامعات هدفًا سهلاً نسبيًا بسبب تعقيد أنظمة إدارة البيانات لديها، والتي غالبًا ما تكون قديمة وتتطلب صيانة مستمرة للحفاظ على أمانها.

استجابة أوراكل ودور المجتمع الأمني

أصدرت أوراكل تحذيرًا رسميًا بشأن الثغرة في 10 يونيو 2026، بعد يوم من انتهاء حملة ShinyHunters. ومع ذلك، لم تحدد أوراكل ما إذا كانت قد رصدت حالات استغلال للثغرة قبل إصدار التحذير، مما أثار تساؤلات حول مدى فعالية نظام الكشف المبكر لديها. في الوقت الحالي، لم تصدر أوراكل بعد إصلاحًا كاملاً للثغرة، بل اكتفت بتوجيهات للتخفيف من آثارها (mitigation guidance) عبر مستندات الدعم الخاصة بها، والتي تتطلب تسجيل دخول لدعم العملاء.

من ناحية أخرى، لعب المجتمع الأمني دورًا حيويًا في كشف تفاصيل الهجوم. فقد ساهم باحثون مثل @nahamike01 في الكشف عن الأدلة المفتوحة، مما سمح للمتخصصين في الأمن السيبراني بتحليل تقنيات المهاجمين والتحذير من مخاطرها. كما ساهمت Mandiant بتحليل شامل للهجوم، مما ساعد المؤسسات على فهم كيفية حماية نفسها من مثل هذه الهجمات في المستقبل.

كيف يمكن للمؤسسات حماية نفسها من مثل هذه الهجمات؟

بالنسبة للمؤسسات التي تستخدم نظام أوراكل بيبولسوفت، هناك عدة خطوات عاجلة يمكن اتخاذها لتقليل المخاطر.首先 وقبل كل شيء، يجب على المؤسسات التأكد من أن مداخل Environment Management Hub (PSEMHUB) غير متاحة عبر الإنترنت. فإذا كان الوصول إلى هذه المداخل ممكنًا من الخارج، فإن ذلك يفتح الباب أمام المهاجمين لاستغلال الثغرة وتنفيذ أوامر خبيثة على النظام.

ثانيًا، يجب على المؤسسات تطبيق التحديثات الأمنية بمجرد إصدارها من قبل أوراكل. وفي حالة عدم توفر إصلاح كامل للثغرة CVE-2026-35263، يجب اتباع إرشادات التخفيف (mitigation guidance) التي توفرها أوراكل، مثل تقييد الوصول إلى المكونات المتأثرة وزيادة المراقبة على الأنشطة المشبوهة داخل الشبكة.

ثالثًا، يجب على المؤسسات تعزيز إجراءات الأمان الأساسية، مثل استخدام المصادقة متعددة العوامل (MFA) لجميع الحسابات، ومراقبة حركة المرور الشبكية بحثًا عن أنماط مشبوهة، وتدريب الموظفين على التعرف على محاولات الهندسة الاجتماعية والهجمات السيبرانية. بالإضافة إلى ذلك، يجب على المؤسسات إجراء اختبارات اختراق دورية (penetration testing) للكشف عن الثغرات الأمنية قبل أن يستغلها المهاجمون.

ما هي الدروس المستفادة من هذا الهجوم؟

أظهر هجوم ShinyHunters على أوراكل بيبولسوفت عدة دروس مهمة للمؤسسات حول العالم.首先، أبرز الهجوم أهمية الاستجابة السريعة للتحديثات الأمنية. فإذا لم تصدر أوراكل تحذيرًا رسميًا إلا بعد انتهاء الحملة، فإن ذلك يدل على وجود فجوة في نظام الكشف المبكر عن الثغرات. لذلك، يجب على المؤسسات اعتماد استراتيجيات استباقية لاكتشاف الثغرات قبل استغلالها من قبل المهاجمين.

ثانيًا، أظهر الهجوم مدى خطورة الثغرات zero-day، خاصة تلك التي تسمح بتنفيذ أوامر عن بُعد دون الحاجة إلى تسجيل دخول. هذه الثغرات تعتبر من أخطر أنواع الثغرات لأنها تسمح للمهاجمين باختراق الأنظمة دون ترك أي أثر واضح في البداية. لذلك، يجب على المؤسسات الاستثمار في تقنيات الكشف عن التهديدات (threat detection) التي يمكنها رصد مثل هذه الأنشطة المشبوهة في الوقت الفعلي.

أخيرًا، أبرز الهجوم أهمية التعاون بين الشركات والمجتمع الأمني. فبدون إبلاغ باحثي TrendAI أوراكل بالثغرة، لكان من الممكن أن تستمر الحملة لفترة أطول دون اكتشافها. لذلك، يجب على المؤسسات دعم الجهود البحثية في مجال الأمن السيبراني والعمل مع مجتمع الأمن لبناء بيئة أكثر أمانًا للجميع.

ما هي الخطوات التالية للمؤسسات المتضررة؟

بالنسبة للمؤسسات التي تعرضت للهجوم أو التي تش suspect في تعرضها، يجب اتخاذ خطوات فورية للتحقيق في مدى الضرر واتخاذ الإجراءات اللازمة.首先، يجب على المؤسسات إجراء تقييم شامل للأنظمة المتأثرة لتحديد البيانات التي تم الوصول إليها أو سرقتها. بعد ذلك، يجب عليها الاتصال بالسلطات المختصة، مثل السلطات المحلية لأمن المعلومات، وإبلاغ الجهات التنظيمية إذا لزم الأمر.

ثانيًا، يجب على المؤسسات تعزيز إجراءات الأمان لديها لمنع تكرار مثل هذه الهجمات في المستقبل. يمكن ذلك من خلال تطبيق التحديثات الأمنية، وتقييد الوصول إلى المكونات الحساسة، وتعزيز المراقبة على الأنشطة الشبكية. بالإضافة إلى ذلك، يجب على المؤسسات النظر في الاستعانة بخبراء خارجيين لإجراء تحقيق جنائي رقمي (digital forensics) لتحديد كيفية حدوث الاختراق وكيفية منعه في المستقبل.

أخيرًا، يجب على المؤسسات النظر في تقديم الدعم للضحايا، سواء كانوا طلابًا أو موظفين أو شركاء تجاريين، الذين قد يتأثرون بسرقة بياناتهم. يمكن ذلك من خلال تقديم خدمات حماية الهوية أو الدعم النفسي إذا لزم الأمر. كما يجب على المؤسسات تعزيز الشفافية مع الجمهور والعملاء، وتقديم معلومات واضحة حول ما حدث وما يتم اتخاذه لحماية البيانات في المستقبل.

خاتمة

أظهر هجوم ShinyHunters على أوراكل بيبولسوفت مدى خطورة الثغرات zero-day وكيفية استغلالها من قبل مجموعات القرصنة المنظمة. من خلال استغلال ثغرة CVE-2026-35263، تمكنت المجموعة من اختراق أنظمة جامعات كبرى وسرقة بياناتها، مما يهدد خصوصية الآلاف من الطلاب والموظفين. ومع ذلك، يوفر هذا الهجوم دروسًا مهمة للمؤسسات حول العالم، بدءًا من أهمية الاستجابة السريعة للتحديثات الأمنية إلى تعزيز التعاون مع المجتمع الأمني.

بالنسبة للمؤسسات التي تستخدم نظام أوراكل بيبولسوفت، هناك خطوات عاجلة يمكن اتخاذها لحماية نفسها من مثل هذه الهجمات في المستقبل. من خلال تقييد الوصول إلى المكونات الحساسة، وتعزيز المراقبة، وتطبيق التحديثات الأمنية، يمكن للمؤسسات تقليل المخاطر بشكل كبير. كما يجب على المجتمع الأمني الاستمرار في العمل معًا لاكتشاف الثغرات قبل استغلالها من قبل المهاجمين، وبناء بيئة رقمية أكثر أمانًا للجميع.