**Oracle PeopleSoft**, une suite logicielle d'entreprise essentielle à la gestion des opérations telles que les RH, la paie et la finance, est actuellement assiégée par le groupe d'extorsion **ShinyHunters**. Le gang affirme avoir exfiltré des données de plus de 100 organisations, affectant des centaines d'instances **PeopleSoft**. ### Demandes d'extorsion et revendications d'attaques Les rapports indiquent que les clients d'**Oracle PeopleSoft**, qu'ils utilisent des déploiements cloud ou sur site, ont reçu des demandes d'extorsion attribuées à **ShinyHunters**. Les acteurs de la menace ont confirmé leur implication, affirmant avoir compromis environ 300 instances dans plus de 100 organisations. ### Exploitation de vulnérabilités **ShinyHunters** déclare que leurs attaques exploitent une 'chaîne de gadgets' combinant des vulnérabilités connues et des zero-day. Cependant, ils notent que le succès de leur exploitation varie, suggérant que cela pourrait dépendre de configurations système spécifiques. **Oracle** n'a pas encore commenté publiquement l'exploitation de vulnérabilités zero-day potentielles. ### Focus sur le secteur de l'éducation La majorité des organisations touchées par ces attaques semblent se trouver dans le secteur de l'éducation. **ShinyHunters** a également revendiqué une tentative initiale, infructueuse, de compromettre un portail du **FBI** exécutant **PeopleSoft** pour diffuser une déclaration. **Nottingham University** a été identifiée comme une victime, ses données ayant été apparemment publiées sur le site de fuite de données de **ShinyHunters**. L'université a reconnu avoir subi un incident de cybersécurité. ### Émergence d'indicateurs de compromission (IOCs) Le chercheur en cybersécurité "Michael R" a découvert plusieurs répertoires en ligne exposés contenant des outils liés à ces attaques. Ces répertoires révèlent du matériel de staging, y compris des agents **MeshCentral**, et des scripts pour le défigurement de système et le credential spraying. **Michael R** a partagé les adresses IP suivantes comme **IOCs** liés aux attaques en cours : Certaines de ces adresses IP sont associées à un certificat TLS pour "azurenetfiles[.]net", un domaine précédemment lié au gang **ShinyHunters**. ### Méthodologie d'attaque révélée L'analyse des fichiers `.bash_history` trouvés sur cinq des serveurs compromis donne un aperçu de la méthodologie d'attaque. Un script shell a été découvert, conçu pour déployer une note de rançon, "README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT", sur les serveurs **PeopleSoft** internes après la compromission.  Le script identifie les systèmes liés à **PeopleSoft** en analysant `/etc/hosts` et tente d'établir des connexions SSH en utilisant des comptes administratifs courants tels que 'psoft', 'oracle' et 'linuxadm'. Si l'authentification par mot de passe échoue, il tente une authentification par clé SSH. Après une connexion réussie, la note de rançon est placée dans les répertoires associés aux serveurs web et applicatifs **PeopleSoft**. ### Recommandations urgentes pour les utilisateurs de **PeopleSoft** Il est fortement recommandé aux organisations exploitant des instances **Oracle PeopleSoft** de vérifier immédiatement leurs journaux pour toute connexion provenant des **IOCs** susmentionnés. Si ces indicateurs sont trouvés, des mesures d'intervention d'urgence rapides doivent être initiées, y compris une enquête approfondie sur les compromissions potentielles et la considération de l'isolement temporaire des serveurs affectés de l'accès à Internet jusqu'à ce que l'environnement puisse être sécurisé et examiné.