**Oracle PeopleSoft**, eine unternehmenskritische Business-Software-Suite zur Verwaltung von HR-, Gehaltsabrechnungs- und Finanzoperationen, steht derzeit unter dem Beschuss der **ShinyHunters**-Erpressergruppe. Die Gruppe behauptet, Daten von über 100 Organisationen exfiltriert zu haben, was Hunderte von **PeopleSoft**-Instanzen betrifft. ### Erpressungsforderungen und Angriffsansprüche Berichten zufolge haben **Oracle PeopleSoft**-Kunden, sowohl in Cloud- als auch in On-Premises-Umgebungen, Erpressungsforderungen erhalten, die **ShinyHunters** zugeschrieben werden. Die Bedrohungsakteure haben ihre Beteiligung bestätigt und behaupten, etwa 300 Instanzen in über 100 Organisationen kompromittiert zu haben. ### Ausnutzung von Schwachstellen **ShinyHunters** gibt an, dass ihre Angriffe eine 'Gadget-Kette' ausnutzen, die sowohl bekannte als auch Zero-Day-Schwachstellen kombiniert. Sie weisen jedoch darauf hin, dass der Erfolg ihrer Ausnutzung variiert, was darauf hindeutet, dass er von spezifischen Systemkonfigurationen abhängen könnte. **Oracle** hat sich noch nicht öffentlich zu der Ausnutzung potenzieller Zero-Day-Schwachstellen geäußert. ### Fokus auf den Bildungssektor Die Mehrheit der von diesen Angriffen betroffenen Organisationen scheint im Bildungssektor angesiedelt zu sein. **ShinyHunters** behauptete auch einen ersten, erfolglosen Versuch, ein **FBI**-Portal mit **PeopleSoft** zu kompromittieren, um eine Erklärung zu verbreiten. Die **Nottingham University** wurde als Opfer identifiziert, wobei ihre Daten Berichten zufolge auf der **ShinyHunters**-Datenleck-Website veröffentlicht wurden. Die Universität hat einen Cybersicherheitsvorfall eingeräumt. ### Indikatoren für Kompromittierung (IOCs) tauchen auf Der Cybersicherheitsforscher "Michael R" hat mehrere exponierte Online-Verzeichnisse aufgedeckt, die mit diesen Angriffen verbundene Tools enthalten. Diese Verzeichnisse zeigen Staging-Materialien, einschließlich **MeshCentral**-Agenten und Skripte für System-Defacement und Credential-Spraying. **Michael R** teilte die folgenden IP-Adressen als **IOCs** im Zusammenhang mit den laufenden Angriffen mit: Einige dieser IP-Adressen sind mit einem TLS-Zertifikat für "azurenetfiles[.]net" verbunden, einer Domain, die zuvor mit der **ShinyHunters**-Gruppe in Verbindung gebracht wurde. ### Angriffsmethodik enthüllt Die Analyse von `.bash_history`-Dateien, die auf fünf der kompromittierten Server gefunden wurden, gibt Einblicke in die Angriffsmethodik. Ein Shell-Skript wurde entdeckt, das darauf ausgelegt ist, nach einer Kompromittierung eine Lösegeldforderung "README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT" auf internen **PeopleSoft**-Servern bereitzustellen.  Das Skript identifiziert **PeopleSoft**-bezogene Systeme durch Parsen von `/etc/hosts` und versucht, SSH-Verbindungen mit gängigen administrativen Konten wie 'psoft', 'oracle' und 'linuxadm' herzustellen. Wenn die Passwortauthentifizierung fehlschlägt, versucht es die SSH-Schlüssel-basierte Authentifizierung. Nach erfolgreicher Verbindung wird die Lösegeldforderung in Verzeichnissen platziert, die mit **PeopleSoft**-Web- und Anwendungsservern verbunden sind. ### Dringende Empfehlungen für **PeopleSoft**-Benutzer Organisationen, die **Oracle PeopleSoft**-Instanzen betreiben, wird dringend empfohlen, ihre Protokolle sofort auf Verbindungen zu überprüfen, die von den oben genannten **IOCs** stammen. Wenn diese Indikatoren gefunden werden, sollten umgehend Maßnahmen zur Reaktion auf Vorfälle eingeleitet werden, einschließlich einer gründlichen Untersuchung potenzieller Kompromittierungen und der Erwägung, betroffene Server vorübergehend vom Internet zu isolieren, bis die Umgebung gesichert und überprüft werden kann.