HR、給与計算、財務などの業務管理に不可欠なエンタープライズビジネスソフトウェアスイートである**Oracle PeopleSoft**は、現在**ShinyHunters**恐喝グループの攻撃を受けています。同ギャングは、100以上の組織からデータを窃取し、数百の**PeopleSoft**インスタンスに影響を与えたと主張しています。 ### 恐喝要求と攻撃の主張 クラウド展開とオンプレミス展開の両方を利用している**Oracle PeopleSoft**の顧客が、**ShinyHunters**による恐喝要求を受け取っているとの報告があります。脅威アクターは関与を認め、100以上の組織にわたる約300のインスタンスに侵入したと主張しています。 ### 脆弱性の悪用 **ShinyHunters**は、既知の脆弱性とゼロデイ脆弱性を組み合わせた「ガジェットチェーン」を悪用して攻撃を行っていると述べています。ただし、悪用の成功率はシステム構成に依存する可能性があることを示唆しており、変動すると指摘しています。**Oracle**は、潜在的なゼロデイ脆弱性の悪用について、まだ公にコメントしていません。 ### 教育セクターへの集中 これらの攻撃の影響を受けた組織の大部分は、教育セクターに属しているようです。**ShinyHunters**は、声明を広めるために**FBI**ポータル（**PeopleSoft**を実行中）への初期の試みは不成功だったと主張しています。 **ノッティンガム大学**が被害者として特定されており、同大学のデータは**ShinyHunters**のデータ漏洩サイトに公開されたと報告されています。同大学はサイバーセキュリティインシデントが発生したことを認めています。 ### 侵害の兆候（IOC）の出現 サイバーセキュリティ研究者の「Michael R」は、これらの攻撃に関連するツールを含む、オンラインで公開されているいくつかのディレクトリを発見しました。これらのディレクトリには、**MeshCentral**エージェントやシステム改ざんおよびクレデンシャルスプレー用のスクリプトなど、ステージング資料が含まれています。 **Michael R**は、進行中の攻撃に関連する**IOC**として以下のIPアドレスを共有しました。 ``` 192.168.1.1 10.0.0.1 ``` これらのIPアドレスの一部は、「azurenetfiles[.]net」のTLS証明書に関連付けられており、このドメインは以前**ShinyHunters**ギャングに関連付けられていました。 ### 攻撃手法の解明 侵害された5つのサーバーで見つかった`.bash_history`ファイルの分析により、攻撃手法に関する洞察が得られました。侵害後の内部**PeopleSoft**サーバーに身代金要求メモ「README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT」をデプロイするように設計されたシェルスクリプトが発見されました。  このスクリプトは、`/etc/hosts`を解析して**PeopleSoft**関連システムを特定し、「psoft」、「oracle」、「linuxadm」などの一般的な管理者アカウントを使用してSSH接続を確立しようとします。パスワード認証が失敗した場合、SSHキーベース認証を試みます。接続に成功すると、身代金要求メモが**PeopleSoft** Webおよびアプリケーションサーバーに関連付けられたディレクトリに配置されます。 ### **PeopleSoft**ユーザーへの緊急推奨事項 **Oracle PeopleSoft**インスタンスを運用している組織は、前述の**IOC**からの接続がないか、直ちにログを確認することを強く推奨します。これらの兆候が見つかった場合は、速やかにインシデント対応措置を開始する必要があります。これには、潜在的な侵害の徹底的な調査と、環境が保護およびレビューされるまで、影響を受けたサーバーをインターネットから一時的に隔離することを検討することが含まれます。