Нулевой день в PeopleSoft: ShinyHunters похитили десятки гигабайт данных сотен компаний

Хакерская группировка ShinyHunters воспользовалась уязвимостью нулевого дня в платформе Oracle PeopleSoft и скомпрометировала сотни организаций по всему миру. Об этом сообщили исследователи Mandiant. Похищенные данные уже опубликованы на собственном сайте утечек группировки — в одном из задокументированных случаев объём украденного составил 48 ГБ от единственной жертвы.

PeopleSoft — одна из наиболее распространённых ERP-систем в корпоративном сегменте. Её используют крупные университеты, государственные структуры, банки и промышленные холдинги для управления персоналом, финансами и цепочками поставок. Уязвимость нулевого дня означает, что на момент атаки официального патча не существовало, а значит, у жертв не было стандартного инструмента защиты.

Как проходила атака

Анализ bash-скрипта, обнаруженного в промежуточной среде одной из жертв, позволил Mandiant восстановить цепочку действий злоумышленников. После первоначального проникновения атакующие проводили разведку: изучали конфигурации PeopleSoft, просматривали настройки планировщика процессов и XML-конфигурации сервера WebLogic.

Затем хакеры устанавливали исходящее SSH-соединение с IP-адресом 176.120.22.24 — именно там размещён сайт утечек ShinyHunters. Перед передачей данные сжимались утилитой zstd, что позволяло ускорить эксфильтрацию и снизить заметность трафика. Часть организаций успела заблокировать активность или устранить уязвимость до завершения атаки, однако другие были полностью скомпрометированы.

Кто такие ShinyHunters и почему это важно

ShinyHunters действуют как минимум с 2019 года и входят в число наиболее результативных киберпреступных группировок в мире. За несколько лет они атаковали десятки крупнейших компаний, затронув миллионы пользователей. В числе известных жертв — сервис продажи билетов Ticketmaster (через взлом облачной платформы Snowflake), крупнейший банк Испании Santander, а также Salesforce, через которую пострадали Google и, по имеющимся данным, ряд других технологических компаний.

Группировка не ограничивается одним вектором атаки. В арсенале ShinyHunters — эксплуатация уязвимостей в программном обеспечении, кража OAuth-токенов, атаки на цепочки поставок, голосовой фишинг и другие методы социальной инженерии. Такая гибкость делает их особенно опасными: даже хорошо защищённая инфраструктура может оказаться уязвимой через подрядчика или облачного провайдера.

Что делать прямо сейчас

Mandiant и Rapid7 опубликовали детальные индикаторы компрометации (IoC) и выпустили практические рекомендации для клиентов PeopleSoft. Специалисты советуют незамедлительно проверить журналы активности на предмет подозрительных SSH-соединений, аудировать конфигурации WebLogic и ограничить исходящий сетевой трафик с серверов PeopleSoft.

Учитывая статистику успешных атак ShinyHunters, любая организация, использующая PeopleSoft, должна расценивать ситуацию как критическую — вне зависимости от того, получила ли она уже уведомление о компрометации. Принцип «нас это не касается» в данном случае особенно опасен: часть жертв узнала об утечке только после публикации данных на DLS.

Что это значит для белорусского рынка

PeopleSoft присутствует в инфраструктуре ряда международных компаний, работающих в Беларуси, а также в структурах, связанных с глобальными холдингами. IT-компании из ПВТ, обслуживающие зарубежных клиентов на аутсорсе, могут столкнуться с требованиями провести аудит безопасности со стороны заказчиков, использующих PeopleSoft.

Более широкий урок — в природе самой атаки. Уязвимость нулевого дня в корпоративном ПО, которое считается «надёжным» и «проверенным», напоминает: периметровая безопасность и своевременное обновление систем остаются базовым, но недостаточным условием защиты. Мониторинг аномального исходящего трафика и сегментация сетей — меры, которые в нескольких случаях позволили организациям остановить атаку до завершения эксфильтрации данных.

Специалистам по информационной безопасности стоит отслеживать обновления от Mandiant и Rapid7: оба вендора обещали публиковать актуальные IoC по мере развития расследования.

— По материалам Ars Technica: оригинальная статья. Перевод и адаптация — редакция Digital Business.