ចំណុចខ្សោយ Oracle PeopleSoft 0-Day RCE ត្រូវបានវាយប្រហារដោយ ShinyHunters

Mandiant និង Google Threat Intelligence Group (GTIG) បានចេញការព្រមានដ៏សំខាន់មួយ បន្ទាប់ពីបានកំណត់អត្តសញ្ញាណយុទ្ធនាការសម្របសម្រួល និងជំរិតទារប្រាក់សកម្មមួយ ដែលផ្តោតលើហេដ្ឋារចនាសម្ព័ន្ធ Oracle PeopleSoft ដែលត្រូវបានសន្មតថាជាភ្នាក់ងារគំរាមកំហែងដ៏ល្បីល្បាញ UNC6240 ដែលត្រូវបានគេស្គាល់ផងដែរថាជា ShinyHunters។

យុទ្ធនាការនេះបានកេងប្រវ័ញ្ច CVE-2026-35273 ដែលជាចំណុចខ្សោយដ៏សំខាន់មួយនៃការប្រតិបត្តិកូដពីចម្ងាយដែលមិនបានផ្ទៀងផ្ទាត់ (RCE) ដែលមានពិន្ទុ CVSS 9.8 ជាថ្ងៃសូន្យមុនពេល Oracle ចេញផ្សាយសេចក្តីណែនាំរបស់ខ្លួននៅថ្ងៃទី 10 ខែមិថុនា ឆ្នាំ 2026។

សកម្មភាពព្យាបាទត្រូវបានគេសង្កេតឃើញរវាងថ្ងៃទី 27 ខែឧសភា ដល់ថ្ងៃទី 9 ខែមិថុនា ឆ្នាំ 2026 ជាមួយនឹងការវាយប្រហារដែលផ្តោតលើសមាសភាគ Environment Management Hub (PSEMHUB) នៃ Oracle PeopleSoft PeopleTools កំណែ 8.61 និង 8.62។

Google Threat Intelligence Group បានជូនដំណឹងដល់អង្គការសកលជាង 100 ដែលអាសយដ្ឋាន IP របស់ពួកគេមានទំនាក់ទំនងជាមួយចំណុចបញ្ចប់ដែលអាចងាយរងគ្រោះ ដោយ 68% នៃជនរងគ្រោះប្រមូលផ្តុំនៅក្នុងវិស័យអប់រំឧត្តមសិក្សា រួមទាំងសាកលវិទ្យាល័យ និងមហាវិទ្យាល័យទូទាំងពិភពលោក។

សាកលវិទ្យាល័យ Nottingham បានបញ្ជាក់ពីសកម្មភាពដែលគ្មានការអនុញ្ញាតនៅលើប្រព័ន្ធរបស់ខ្លួន ដោយរបាយការណ៍បង្ហាញពីទិន្នន័យលួចប្រហែល 40 ជីហ្គាបៃ រួមទាំងកំណត់ត្រាសិស្ស ទិន្នន័យជំនួយហិរញ្ញវត្ថុ កំណត់ត្រាសុខភាព និងព័ត៌មានលម្អិតអំពីអន្តោប្រវេសន៍។

ភាពងាយរងគ្រោះ Oracle PeopleSoft 0-Day RCE

GTIG បានតម្រៀបអាសយដ្ឋាន IP ដំណាក់កាលដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារជាបន្តបន្ទាប់ចំនួនប្រាំ គឺ 142.11.200.186 ដល់ 142.11.200.190 ដែលនីមួយៗបង្ហោះម៉ាស៊ីនមេ Python SimpleHTTP នៅលើច្រក 8888។

ខ្លឹមសារថតឯកសារដែលលាតត្រដាងទាំងនេះរួមមានប្រវត្តិពាក្យបញ្ជារបស់អ្នកវាយប្រហារ សម្ភារៈដំណាក់កាល និងភ្នាក់ងារគ្រប់គ្រងពីចម្ងាយ MeshCentral ដែលត្រូវបានកំណត់រចនាសម្ព័ន្ធជាមុន។

ឯកសារគោលពីររបស់ភ្នាក់ងារ Windows ត្រូវបានក្លែងបន្លំជាសេវាកម្ម Microsoft Azure ស្របច្បាប់ (meshagent32-azure-ops.exe, meshagent64-azure-ops.exe, meshagent64-v2.exe) និងត្រូវបានសរសេរកូដរឹងដើម្បីបង្កើតទំនាក់ទំនង C2 ជាមួយ wss://azurenetfiles.net:443/agent.ashx — ដែនដែលបង្កើតឡើងដើម្បីធ្វើត្រាប់តាមចំណុចបញ្ចប់ឯកសារ Microsoft Azure NetApp ស្របច្បាប់។

អ្នកវាយប្រហារបានបង្កើតបរិយាកាសរៀបចំរបស់ពួកគេនៅថ្ងៃទី 27 ខែឧសភា ឆ្នាំ 2026 វេលាម៉ោង 22:14 UTC ដោយដំឡើង MeshCentral v1.1.59 បន្ទាប់មកនៅម៉ោង 22:25 UTC ដោយកញ្ចប់ npm acme-client ដើម្បីធ្វើស្វ័យប្រវត្តិកម្មការផ្តល់វិញ្ញាបនបត្រ SSL របស់ Let’s Encrypt សម្រាប់ដែន masquerading។

ដោយប្រើ meshctrl.js CLI ពួកគេបានប្រតិបត្តិពាក្យបញ្ជាឈ្លបយកការណ៍គោលដៅលើម៉ាស៊ីនដែលរងការសម្របសម្រួល ដោយគូសផែនទីការកំណត់រចនាសម្ព័ន្ធ Oracle PeopleSoft ដោយត្រួតពិនិត្យ psappsrv.cfg ការត្រួតពិនិត្យការម៉ោន NFS សកម្ម និងការអានឯកសារ WebLogic config.xml ដើម្បីគូសផែនទីម៉ាស៊ីនមេកម្មវិធីខាងក្នុង។

ចលនាចំហៀងត្រូវបានធ្វើដោយស្វ័យប្រវត្តិតាមរយៈស្គ្រីបផ្សព្វផ្សាយផ្ទាល់ខ្លួន [victim_abbreviation]_fanout.sh ដែលបានដាក់ពង្រាយទៅ /tmp ដែលអនុវត្តការបាញ់ថ្នាំ SSH credential ប្រឆាំងនឹងម៉ាស៊ីនខាងក្នុងដែលវិភាគពី /etc/hosts។

ពេល​ផ្ទៀងផ្ទាត់​បាន​ជោគជ័យ ស្គ្រីប​បាន​ទម្លាក់​ឯកសារ​សញ្ញា​បំផ្លាញ​មុខមាត់ និង​ជំរិត​ទារ​ប្រាក់ README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT ទៅ​ក្នុង​ថត WebLogic និង Process Scheduler។

ទិន្នន័យ​ដែល​បាន​ស្រង់​ចេញ​ត្រូវ​បាន​បង្ហាប់​ដោយ​ប្រើ zstd មុន​ពេល​អ្នក​វាយប្រហារ​បង្កើត​ការ​តភ្ជាប់ SSH ចេញ​ទៅ 176.120.22.24 ដែល​ជា IP ដែល​បង្ហោះ​កញ្ចក់​សាធារណៈ​នៃ​គេហទំព័រ​លេច​ធ្លាយ​ទិន្នន័យ ShinyHunters (DLS)។ បណ្ណសារ​ទិន្នន័យ​ដែល​ត្រូវ​បាន​លួច​ត្រូវ​បាន​ផ្សព្វផ្សាយ​នៅ​លើ DLS នៅ​ថ្ងៃ​ទី 9 ខែ​មិថុនា ឆ្នាំ 2026។

អង្គការនានាត្រូវបានណែនាំឱ្យអនុវត្តការជូនដំណឹងបន្ទាន់របស់ Oracle សម្រាប់ CVE-2026-35273 ហើយបន្តប្រើប្រាស់កំណែ PeopleSoft ដែលគាំទ្រយ៉ាងសកម្មជាមួយនឹងការអាប់ដេតបំណះសំខាន់ៗទាំងអស់ដោយមិនបង្អង់យូរ។