ShinyHunters usa Oracle Zero-Day para agitar o ensino superior

Um grande bug no software ERP da Oracle afetou desproporcionalmente as universidades americanas, e os hackers capitalizaram roubando grandes quantidades de dados.

ShinyHunters usou uma vulnerabilidade de dia zero no pacote de software PeopleSoft da Oracle para roubar dados de potencialmente mais de 100 organizações.

PeopleSoft é um conjunto de aplicativos de planejamento de recursos empresariais (ERP) usado para coisas como folha de pagamento, gerenciamento da cadeia de suprimentos, recursos humanos (RH) e administração estudantil. É voltado principalmente para grandes empresas e organizações, como entidades governamentais e instituições de ensino superior.

De 27 de maio a 9 de junho de 2026, a gangue de extorsão ShinyHunters explorou uma vulnerabilidade de dia zero no PeopleTools, o ambiente de desenvolvimento integrado (IDE) e plataforma de tempo de execução subjacente da PeopleSoft, de acordo com uma nova pesquisa da Mandiant e do Google Threat Intelligence Group (GTIG). Mais especificamente, a vulnerabilidade está localizada no Environment Management Hub (EMHub), um serviço de back-end que rastreia e gerencia agentes em ambientes PeopleSoft. O problema permitia a execução remota de código (RCE) sem qualquer necessidade de autenticação. Desde então, recebeu um rótulo, CVE-2026-35273, e uma pontuação crítica de 9,8 CVSS.

Com o dia zero, a ShinyHunters afirma ter comprometido mais de 300 instâncias PeopleSoft em mais de 100 organizações. Em uma postagem no blog, pesquisadores da Mandiant e GTIG disseram que alertaram mais de 100 organizações com endpoints potencialmente vulneráveis. , Dustin Childs, chefe de conscientização sobre ameaças da Iniciativa Zero Day da Trend Micro, caracteriza a exploração como “limitada”, embora observe que a investigação da TrendAI, divisão de segurança empresarial da Trend Micro, ainda está em andamento.

A partir de 27 de maio, ShinyHunters explorou CVE-2026-35273 em organizações globais, de acordo com Mandiant e GTIG. No processo, eles acidentalmente deixaram vários diretórios expostos na Internet aberta, permitindo aos pesquisadores descobrir o que aconteceu a seguir:.

O grupo usou o MeshCentral, um programa de código aberto baseado em navegador para gerenciamento remoto, para operações de comando e controle (C2). Eles tentaram ocultar suas atividades nomeando seus agentes MeshCentral com nomes de serviços do Microsoft Azure. Em seguida, eles usaram a interface de linha de comando (CLI) do MeshCentral para realizar o reconhecimento, um script de pulverização de credenciais SSH personalizado para se espalhar ainda mais nos ambientes das vítimas e o algoritmo de compactação Zstandard para exfiltrar dados em massa.

Os atores da ameaça concluíram a sua campanha em 9 de junho, divulgando os seus ganhos no seu site. Nesse ponto, os pesquisadores da TrendAI identificaram a vulnerabilidade e alertaram a Oracle. A Oracle corrigiu a falha e publicou um comunicado de segurança no dia seguinte.

As informações são do site Dark Reading

Compartilhe este artigo

Continue lendo

Voltar ao Blog