ShinyHunters napada Oracle PeopleSoft servere u masovnoj kampanji krađe podataka
ShinyHunters napada Oracle PeopleSoft servere i ekstrakcijom podataka od preko 100 organizacija koristeći zero-day ranjivosti.
Šta se desilo?
Grupa za ekstrakciju podataka ShinyHunters vodi koordiniranu kampanju protiv Oracle PeopleSoft servera, tanto oblačnih kao i lokalnih instalacija. Napadači tvrde da su kompromitovali oko 300 instanci širom više od 100 organizacija i započeli kampanju izveštavanja sa zahtevima za novac. ShinyHunters potvrđuje da koristi kombinaciju starih i zero-day ranjivosti radi pristupa sistemi, iako napominju da nisu sve instalacije podjednako uspešno napadnute.
Koga pogađa?
Primarno su u opasnosti velika preduzeća i institucije koje koriste PeopleSoft za upravljanje ključnim procesima - ljudskim resursima, plaćanju, finansijama, lancem snabdevanja i upravljanju studentskim podacima. Prema napadačima, većina žrtava dolazi iz obrazovnog sektora, uključujući Univerzitet u Nottinghamu čiji su podaci već objavljeni na stranici ShinyHunters-a za curenje podataka. Među ciljevima je bila i FBI platforma na PeopleSoft-u, mada je taj pokušaj bio neuspešan.
Kako se zaštititi?
- Pregledajte log datoteke servera za pristupe sa objavljenih IP adresa (142.11.200.186-190, 108.174.202.99, 176.120.22.24)
- Ako identifikujete sumnjive veze, odmah pokrenite proceduuru reagovanja na incidente
- Privremeno izolujte potencijalno kompromitovane PeopleSoft servere od interneta dok ih temeljno ne pregledате
- Promenite sve administratorske lozinke za račune kao što su 'psoft', 'oracle' i 'linuxadm'
- Proverte SSH istoriju i log datoteke u traži dokaza o neprijavljenim pristupima i pokušajima ključa
- Pregledate diretkrijume za prisustvo datoteka sa imenima poput 'README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT'
Tehnički detalji
Napadači koriste gadget chain - kombinaciju postojećih i zero-day ranjivosti - za pristup sistemi. Izložene su bile nekoliko odeljenja na internetu sa alatima vezanim za napad, uključujući MeshCentral agente i skripte za brute-force napade na kredencijale. TLS sertifikati otkriveni na eksponiranim serverima imaju zajedničko ime 'azurenetfiles.net', domen prethodno povezan sa ShinyHunters grupom. Analiza bash istorije pokazala je skripte koje kreiraju beleške sa ransom porukom nakon kompromitovanja, sa pokušajima da se povežu sa PeopleSoft sistemima korišćenjem uobičajenih administratorskih računa putem SSH-a sa fallback mehanizmom za ključ-bazirane autentifikacije.
Preporuka Sajber Radara
Organizacije koje koriste Oracle PeopleSoft trebalo bi hitno da pregledaju svoje logove i konfiguracije sistema, naročito ako se nalaze u edukativnom sektoru. Pošto je čak i sam FBI bio u opasnosti, preporučujemo preventivni pristup sa povećanom monitoringom i hitnim ažuriranjem administratorskih pristupa.