Уязвимость нулевого дня в PeopleSoft затронула сотни организаций, похищены гигабайты данных
Согласно отчёту Mandiant, активно эксплуатируемая уязвимость нулевого дня в PeopleSoft позволила злоумышленникам похитить данные сотен организаций. Группировка ShinyHunters опубликовала украденную информацию.
Исследователи Mandiant обнаружили активно эксплуатируемую уязвимость нулевого дня в системах Oracle PeopleSoft, которая затронула сотни организаций. В результате атак были похищены гигабайты данных, опубликованные на сайте утечек данных ShinyHunters (DLS).
Анализ bash-скрипта, оставленного в промежуточной среде, показал, что злоумышленники проводили разведку скомпрометированных организаций, включая картирование конфигураций PeopleSoft, просмотр планировщика процессов и XML-конфигураций сервера WebLogic. Затем они установили исходящее SSH-соединение с IP-адресом 176.120.22.24, на котором размещён DLS ShinyHunters. Похищенные данные сначала сжимались с помощью инструмента zstd.
Сайт утечек ShinyHunters утверждает, что получил 48 ГБ данных от одной жертвы. Группировка ShinyHunters активна как минимум с 2019 года и совершила множество взломов крупных компаний, таких как Ticketmaster (через утечку Snowflake), банк Santander и Salesforce, затронув миллионы людей.
ShinyHunters использует различные методы для получения первоначального доступа, включая эксплуатацию ошибок конфигурации облака и уязвимостей ПО, кражу OAuth-токенов, атаки на цепочку поставок, голосовой фишинг и другие методы социальной инженерии.
Mandiant и Rapid7 опубликовали подробные индикаторы компрометации и дают рекомендации клиентам PeopleSoft о немедленных действиях. Учитывая успехи ShinyHunters, всем пользователям PeopleSoft следует принять эти предупреждения во внимание.
