Oracle PeopleSoft 服务器遭 ShinyHunters 数据窃取攻击

Oracle PeopleSoft 服务器正成为 ShinyHunters 勒索团伙持续数据窃取攻击的目标，该团伙声称已从超过 100 家组织窃取了数据。

PeopleSoft 是一套企业业务软件套件，大型组织使用它来管理人力资源、薪资、财务、供应链管理、采购和学生管理等业务运营。

昨天，BleepingComputer 获悉了针对云上和本地 Oracle PeopleSoft 客户实例的大规模数据窃取攻击。这些客户收到了由 ShinyHunters 勒索团伙签名的勒索要求。

今天，该威胁行为者向 BleepingComputer 确认他们是这些攻击的幕后黑手，声称已从超过 100 家组织的 300 个实例中窃取了数据。

ShinyHunters 表示，他们使用旧漏洞和零日漏洞组成的 "gadget chain" 来实施攻击。但他们指出，其攻击并非在所有系统上都能成功，并认为利用成功率可能取决于实例的配置方式。

BleepingComputer 今早联系了 Oracle，询问其是否知晓有 Oracle PeopleSoft 零日漏洞被用于数据窃取攻击，但截至发稿时尚未收到回复。

据威胁行为者称，受这些攻击影响的大多数组织属于教育行业，其中许多此前曾遭到该威胁行为者的勒索。

他们声称最初的目标是入侵一个运行 PeopleSoft 的 FBI 门户网站，以 "发布一份声明并澄清一些一直在传播的错误信息"。但他们表示攻击并未成功，未能获得对该实例的访问权限。

该威胁行为者告诉 BleepingComputer，诺丁汉大学是这些攻击的受害者之一，其数据已在 ShinyHunters 数据泄露网站上公布。诺丁汉大学今天也发布了一份声明，承认遭受了网络安全事件。

虽然 Oracle 尚未公开披露任何有关这些攻击的信息，但网络安全研究员 "Michael R" 发现了几个暴露在外的在线目录，其中包含与此攻击相关的工具。

"ShinyHunters（或冒充该组织的团伙）暴露了多个目录，揭示了正在进行的针对 PeopleSoft（企业资源规划软件）环境的攻击，"该研究员发帖称。"同时可见的还有准备材料，包括 MeshCentral 代理，以及一个网页篡改和凭证喷洒脚本。"

该研究员分享了以下 IP 地址作为与这些攻击相关的 IOC：

142.11.200[.]186
142.11.200[.]187
142.11.200[.]188
142.11.200[.]189
142.11.200[.]190
108.174.202[.]99
176.120.22[.]24

其中一些 IP 地址使用的 TLS 证书的通用名为 "azurenetfiles[.]net"，该域名此前曾与 ShinyHunters 勒索团伙有关联。

其中五台服务器暴露了一个 .bash_history 文件，提供了一些攻击的线索，包括一个 shell 脚本，该脚本旨在 PeopleSoft 内部服务器被入侵后创建名为 "README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT" 的勒索信。

如果密码认证失败，该脚本会尝试使用 SSH 密钥认证作为备用方式。

连接成功后，该脚本将勒索信放入与 PeopleSoft Web 和应用服务器相关的目录中。

如果你正在运行 Oracle PeopleSoft，强烈建议你分析日志中是否有来自上述 IP 地址的任何连接，以确定你是否成为这些攻击的目标。

如果发现这些 IOC，组织应立即启动事件响应，调查其 PeopleSoft 实例是否已被入侵，并考虑暂时将受影响的服务器从互联网上断开，直到环境得到保护和审查。