Как ShinyHunters использовали нулевой день Oracle PeopleSoft для атак на университеты

В последние недели мир столкнулся с новой волной кибератак, в центре которой оказалась одна из самых распространённых корпоративных платформ — Oracle PeopleSoft. Исследователи из Google Mandiant обнаружили, что группа ShinyHunters эксплуатировала неисправленную уязвимость (CVE-2026-35273) для удалённого выполнения кода (RCE), что позволило злоумышленникам проникать в системы без аутентификации. Атаки начались ещё 27 мая и продолжались до 9 июня, но официальная информация от Oracle появилась только 10 июня, что делает этот инцидент классическим примером эксплуатации нулевого дня. Больше всего пострадали университеты, но жертвами также стали коммерческие организации, что указывает на широкий охват угрозы.

Уязвимость CVE-2026-35273 имеет критическую оценку CVSS 9.8 из 10, что подчёркивает её опасность. Она не требует ни логина, ни взаимодействия со стороны пользователя — достаточно сетевого доступа по протоколу HTTP. Наибольшему риску подвергаются системы, в которых компонент Environment Management Hub (PSEMHUB) доступен извне. Именно через этот модуль, входящий в состав PeopleTools 8.61 и 8.62, происходит эксплуатация. Oracle подтверждает, что уязвимы и более ранние, неподдерживаемые версии, что увеличивает число потенциальных жертв. Исследователи из TrendAI Zero Day Initiative и TrendAI Research сообщили о проблеме Oracle, но на момент публикации остаётся неясным, выпустила ли компания полноценный патч для всех версий.

Эксплуатация этой уязвимости не ограничивалась пассивным сканированием. Как показал анализ Mandiant, ShinyHunters действовали оперативно и агрессивно. Внимание привлёк тот факт, что атакующие оставили часть своей инфраструктуры открытой для публичного доступа. Исследователь @nahamike01 обнаружил открытые директории, в которых хранились файлы, используемые для атаки. Mandiant выявил пять последовательных IP-адресов, на которых работал сервер Python SimpleHTTP Server на порту 8888. Эти серверы содержали следы активности: общие файлы .bash_history, замаскированные под бинарные файлы Microsoft Azure агенты удалённого управления MeshCentral, а также скрипты для латерального перемещения по сети.

Агенты MeshCentral, замаскированные под легитимные Azure-бинарные файлы, связывались с командным центром на домене azurenetfiles.net, который имитировал название Azure NetApp Files. Основным орудием латерального перемещения стал скрипт [victim]_fanout.sh, который распространялся по SSH, подбирая комбинации логин-пароль из заранее заданного списка. Этот список извлекался из файла /etc/hosts, что указывает на предварительную разведку сети. После успешного проникновения в систему, скрипт оставлял файл README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT, предупреждая о факте компрометации. Данные жертв сжимались с помощью zstd и передавались на внешний сервер, который хостил публичную версию сайта ShinyHunters для слива данных.

Mandiant уведомил более 100 организаций, чьи IP-адреса были замечены в индикаторах компрометации, но это не остановило группу. Атаки продолжались даже после публикации уведомления от Oracle, что говорит о том, что многие компании не успели применить патчи или не были осведомлены о риске. По данным Mandiant, за этой кампанией стоит группа UNC6240, известная своими вымогательскими атаками. Эксперты подчёркивают, что основной вектор атаки — это именно неисправленный баг в PeopleSoft, который позволяет получить полный контроль над сервером без каких-либо предварительных условий.

Почему Oracle PeopleSoft стал мишенью для ShinyHunters

Oracle PeopleSoft — это одна из самых популярных платформ для управления корпоративными ресурсами, особенно в образовательных учреждениях и крупных компаниях. Она интегрируется с системами HR, финансов, управления обучением и другими критически важными процессами. Именно поэтому атака на эту платформу может принести злоумышленникам максимальную выгоду: доступ к персональным данным студентов и сотрудников, финансовым транзакциям, исследовательским материалам и другим конфиденциальным ресурсам. Университеты, в частности, хранят огромные массивы данных, включая медицинские записи, финансовую информацию и интеллектуальную собственность, что делает их привлекательной мишенью для вымогателей.

Уязвимость CVE-2026-35273 находится в компоненте Environment Management Hub, который отвечает за управление средами выполнения. Этот модуль часто доступен извне, так как администраторы используют его для удалённого мониторинга и обновления систем. Однако именно эта открытость и стала причиной массовых атак. ShinyHunters не пришлось прибегать к сложным методам социальной инженерии или фишингу — достаточно было отправить специально сформированный HTTP-запрос, чтобы получить полный контроль над сервером. Такой уровень доступа позволяет не только красть данные, но и устанавливать постоянные бэкдоры, модифицировать конфигурации и распространять вредоносное ПО внутри сети.

Опасность усугубляется тем, что уязвимость не требует аутентификации. Это значит, что даже системы с настроенной многофакторной аутентификацией для пользователей не защищены, если сам сервер PeopleSoft доступен из интернета. Oracle подтверждает, что уязвимы не только последние версии PeopleTools 8.61 и 8.62, но и более ранние, неподдерживаемые версии. Это создаёт дополнительную проблему для организаций, которые не могут или не хотят обновлять свои системы из-за совместимости с legacy-приложениями. В таких случаях единственным выходом остаётся отключение внешнего доступа к Environment Management Hub или применение обходных мер защиты.

Как развивалась атака: от проникновения до вымогательства

Атака ShinyHunters началась с разведки и сканирования уязвимых систем. По данным Mandiant, группа использовала автоматизированные инструменты для поиска хостов с открытым портом PeopleSoft и доступным Environment Management Hub. Как только потенциальная жертва была найдена, злоумышленники отправляли эксплойт, который позволял выполнить произвольный код на сервере. Это давало им возможность загружать и устанавливать собственные инструменты, такие как MeshCentral, замаскированные под легитимные Azure-бинарные файлы.

После получения доступа к серверу ShinyHunters приступили к сбору данных. Они изучали структуру сети, извлекали учётные данные из файлов конфигурации и системных логов, а затем распространяли вредоносное ПО на другие узлы. Скрипт [victim]_fanout.sh играл ключевую роль в латеральном перемещении — он подбирал пароли к соседним системам, используя стандартные учётные данные и списки, собранные в процессе разведки. Это позволяло группе быстро расширять зону контроля и захватывать новые серверы, включая критически важные узлы, такие как базы данных и файловые хранилища.

Финальным этапом атаки стало шифрование данных и вымогательство. ShinyHunters сжимали украденную информацию с помощью zstd, чтобы ускорить передачу на свои серверы, а затем оставляли файл README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT, предупреждая жертву о факте компрометации. В некоторых случаях атакующие требовали выкуп за неразглашение данных или восстановление доступа. Mandiant отмечает, что группа UNC6240 известна своей тактикой двойного вымогательства — кражи данных и последующего шифрования систем. Это увеличивает давление на жертв, так как даже после восстановления систем остаётся риск утечки конфиденциальной информации.

Что сделала Oracle и почему этого оказалось недостаточно

Oracle выпустила официальное уведомление о уязвимости CVE-2026-35273 только 10 июня, хотя атаки начались ещё 27 мая. Это означает, что на протяжении двух недель уязвимость оставалась неисправленной, предоставляя ShinyHunters возможность беспрепятственно эксплуатировать её. В уведомлении Oracle указала, что патч доступен в документе поддержки, но не предоставила публичный доступ к нему, что усложнило его применение для многих организаций. Также остаётся неясным, выпустила ли компания патч для всех уязвимых версий, включая неподдерживаемые.

Проблема усугубляется тем, что Oracle PeopleSoft часто интегрируется с другими системами, такими как базы данных, ERP и CRM. Это означает, что патч может потребовать длительного тестирования, чтобы избежать сбоев в критически важных процессах. Многие организации не могут позволить себе простой системы на время обновления, особенно в образовательных учреждениях, где учебный процесс не терпит задержек. В результате, даже после публикации уведомления, многие системы оставались уязвимыми.

Mandiant также отмечает, что Oracle не подтвердила факт эксплуатации уязвимости в своих системах. Это может означать, что компания либо не обнаружила атаки, либо не раскрывает эту информацию публично. В любом случае, отсутствие прозрачности со стороны Oracle только усугубило ситуацию, так как многие организации не были осведомлены о реальной угрозе и не предприняли необходимых мер защиты.

Как защититься от подобных атак: рекомендации для организаций

Первым и самым важным шагом является немедленное применение патча от Oracle. Однако, учитывая, что патч доступен только через документацию поддержки, многим организациям может потребоваться обратиться к вендору или партнёрам Oracle для получения обновления. Если патч недоступен или его применение невозможно, необходимо применить меры временной защиты. В частности, следует ограничить доступ к компоненту Environment Management Hub, закрыв его от внешнего интернета. Это можно сделать с помощью сетевых фильтров, таких как файрволы или сетевые ACL.

Вторым шагом является мониторинг сетевой активности. Организации должны настроить детекцию аномального трафика, особенно входящих HTTP-запросов к PeopleSoft. Mandiant рекомендует обращать внимание на подозрительные соединения к доменам, имитирующим легитимные сервисы, такие как azurenetfiles.net. Также стоит настроить детекцию на уровне файловой системы — например, следить за появлением файлов с названиями вроде README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT или скриптов с жёстко зашитыми списками учётных данных.

Третий шаг — это сегментация сети и управление учётными данными. ShinyHunters использовали стандартные учётные данные для латерального перемещения, что указывает на слабую политику паролей в некоторых организациях. Администраторам следует внедрить строгие правила паролей, многофакторную аутентификацию и регулярный аудит учётных записей. Также рекомендуется изолировать критически важные системы, такие как базы данных и файловые хранилища, от остальной сети, чтобы ограничить распространение атаки.

Наконец, важно иметь план реагирования на инциденты. Mandiant уведомил более 100 организаций, но не все из них успели среагировать вовремя. Организации должны заранее разработать процедуры по выявлению, изоляции и восстановлению после атак, а также регулярно проводить учения и тестирование. Это поможет минимизировать ущерб в случае реальной атаки и ускорить процесс восстановления.

Что ждёт Oracle PeopleSoft и корпоративные системы в будущем

Этот инцидент стал тревожным сигналом для всей индустрии. Он показал, что даже такие критически важные платформы, как Oracle PeopleSoft, могут стать мишенью для групп с высоким уровнем подготовки. В будущем можно ожидать, что ShinyHunters и другие вымогательские группировки будут продолжать эксплуатировать уязвимости нулевого дня, особенно в системах, которые широко распространены и интегрированы в корпоративную инфраструктуру.

Oracle, в свою очередь, должна пересмотреть подход к уведомлению об уязвимостях. Публикация информации о патчах должна происходить одновременно с выпуском самого патча, а не с задержкой в несколько дней. Также необходимо ускорить выпуск исправлений для неподдержимых версий или предоставить альтернативные решения для организаций, которые не могут обновиться. В противном случае, риск повторения подобных атак останется высоким.

Для организаций, использующих Oracle PeopleSoft, этот инцидент — это напоминание о необходимости постоянного мониторинга и обновления систем. Уязвимости нулевого дня будут появляться и в будущем, и единственный способ защититься — это быть готовым к ним заранее. Администраторам следует регулярно проверять наличие обновлений, применять их как можно быстрее и внедрять дополнительные меры защиты, такие как сегментация сети и строгие политики паролей. Только так можно снизить риск успешной атаки и минимизировать ущерб.