ShinyHunters nutzen Oracle PeopleSoft 0-Day-RCE-Schwachstelle

Die Google Threat Intelligence Group informierte über 100 globale Organisationen, deren IP-Adressen mit potenziell verwundbaren Endpunkten korrelierten; 68 % der Opfer konzentrierten sich auf den Hochschulsektor, einschließlich Universitäten und Colleges weltweit.

Die University of Nottingham bestätigte unbefugte Aktivitäten auf ihren Systemen; Berichte deuten darauf hin, dass etwa 40 Gigabyte gestohlene Daten entwendet wurden, darunter Studentenakten, Finanzhilfedaten, Gesundheitsakten und Migrationsunterlagen.

Oracle PeopleSoft 0-Day RCE-Schwachstelle GTIG untersuchte fünf aufeinanderfolgende (142.11.200.186 bis 142.11.200.190), auf denen jeweils ein Python SimpleHTTP-Server auf Port 8888 gehostet wurde. Die freigelegten Verzeichnisinhalte umfassten Befehlsverläufe der Angreifer, Staging-Materialien sowie vorinstallierte MeshCentral-Remote-Management-Agenten.

Technik und Auswirkungen

Die Windows-Agent-Binaries wurden als legitime Microsoft Azure-Dienste getarnt (meshagent32-azure-ops.exe, meshagent64-azure-ops.exe, meshagent64-v2.exe) und waren so konfiguriert, dass sie C2-Kommunikation mit wss://azurenetfiles.net:443/agent.ashx aufbauen – eine Domain, die legitime Microsoft Azure NetApp Files-Endpunkte nachzuahmen versucht.

Die Angreifer richteten am 27. Mai 2026 (UTC) ihre Staging-Umgebung ein, indem sie MeshCentral v1.1.59 installierten, gefolgt, um die Bereitstellung für die tarnende Domäne zu automatisieren.

Mittels der meshctrl.js-CLI führten sie gezielte Aufklärungsbefehle auf kompromittierten Hosts aus, kartierten Oracle PeopleSoft-Konfigurationen durch die Inspektion, prüften aktive NFS-Mounts und lasen WebLogic-Konfigurationsdateien (config.xml), um interne Anwendungsserver zu identifizieren.

Einordnung fuer Autofahrer

Die laterale Bewegung wurde durch ein benutzerdefiniertes Ausbreitungsskript [victim_abbreviation]_fanout.sh automatisiert, das auf /tmp bereitgestellt wurde und SSH-Credential-Spraying gegen interne Hosts durchführte, die aus /etc/hosts extrahiert wurden.

Nach erfolgreicher Authentifizierung platzierte das Skript ein Datei-Marker für Defacement und Erpressung namens README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT in die Verzeichnisse.

Die exfiltrierten Daten wurden vor der Einrichtung einer ausgehenden SSH-Verbindung durch die Angreifer zu 176.120.22.24, der IP-Adresse, die den öffentlichen Spiegel der ShinyHunters Data Leak Site (DLS) hostet, mit zstd komprimiert. Die gestohlenen Datenarchive wurden am 9. Juni 2026 auf der DLS veröffentlicht.

Technischer Hintergrund

Wichtige Indikatoren für Kompromittierung (IOCs): 142.11.200.186–.190: Typ: IP-Adressen; Beschreibung: Angreifer-Staging-Server. azurenetfiles.net: Typ: Domain; Beschreibung: C2-Domäne, die sich als legitimer Dienst tarn. meshagent64-azure-ops.exe: Typ: SHA-256: f02a924c...; Beschreibung: Vorkonfiguriertes Windows-Agentenprogramm. meshagent32-azure-ops.exe: Typ: SHA-256: c7e93327...; Beschreibung: Vorkonfiguriertes Windows-Agentenprogramm..bash_history: Typ: SHA-256: 2ab684d9...; Beschreibung: Befehlsverlauf des Angreifers.

README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT: Typ: Dateiname; Beschreibung: Erpressungsmarker. Organisationen werden dringend empfohlen, den Notfallhinweis für CVE-2026-35273 anzuwenden und sich unverzüglich auf aktiv unterstützte PeopleSoft-Versionen mit allen kritischen Patch-Updates zu befinden.