Хакеры заявили о взломе серверов Oracle PeopleSoft в свыше 100 организациях

Киберпреступная группа ShinyHunters заявила о взломе серверов Oracle PeopleSoft более чем в 100 организациях. В большинстве случаев это университеты.

О взломах впервые сообщило издание BleepingComputer. PeopleSoft — это корпоративный пакет программного обеспечения, используемый крупными организациями для бизнес-операций, таких как управление персоналом, расчет заработной платы, финансы, цепочки поставок, закупки и администрирование студентов.

Атаки были нацелены как на облачные, так и на локальные экземпляры Oracle PeopleSoft у клиентов. Они получали требования о вымогательстве.

В ShinyHunters утверждают, что используют «цепочку гаджетов» со старыми уязвимостями для проведения атак, успех эксплуатации которых может зависеть от конфигурации экземпляра.

Злоумышленники сообщили BleepingComputer, что Ноттингемский университет стал жертвой этих атак, и что его данные уже были опубликованы на сайте утечек данных. Университет также опубликовал заявление, в котором признал, что пострадал от инцидента.

Хотя Oracle публично не раскрывала никакой информации об этих атаках, исследователь кибербезопасности Майкл Р. обнаружил несколько открытых онлайн-каталогов, содержащих инструменты, связанные с этой атакой. Он нашёл и материалы для подготовки к атаке, включая агенты MeshCentral, а равным образом сценарий для взлома и сброса учётных данных.

Исследователь предоставил следующие IP-адреса в качестве индикаторов компрометации (IOC):

• 142.11.200[.]

• 186 142.11.200[.]

• 187 142.11.200[.]

• 188 142.11.200[.]

• 189 142.11.200[.]

• 190 108.174.202[.]

• 99 176.120.22[.]24

Некоторые из этих IP-адресов использовали TLS-сертификат с общим именем “azurenetfiles[.]net”, доменом, ранее связанным с группировкой вымогателей.

На пяти серверах был обнаружен файл .bash_history, который позволил получить некоторое представление об атаках, включая сценарий оболочки, предназначенный для создания записки с требованием выкупа под названием “README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT” на внутреннем сервере PeopleSoft после его взлома. Сценарий анализирует файл /etc/hosts для идентификации систем, связанных с PeopleSoft, и пытается подключиться к ним по SSH, используя распространённые административные учётные записи PeopleSoft и Oracle, такие как ‘psoft’, ‘oracle’ и ‘linuxadm’.

Если аутентификация по паролю не удаётся, скрипт пытается применять аутентификацию на основе SSH-ключей в качестве резервного варианта. После установления соединения он размещает сообщение с требованием выкупа в каталогах, связанных с веб-серверами и серверами приложений PeopleSoft.

Тем, кто использует Oracle PeopleSoft, рекомендуется проанализировать журналы подключений с указанных выше IP-адресов, чтобы определить, стали ли они целью этих атак.

В случае обнаружения индикаторов компрометации организациям следует немедленно начать реагировать и рассмотреть функция временного отключения затронутых серверов от доступа в Интернет до тех пор, пока среда не будет защищена и проверена.

PeopleSoft — это корпоративное программное обеспечение, предназначенное для управления заработной платой, персоналом, административными процессами и другими бизнес-операциями.

Метод работы ShinyHunters заключается в поиске уязвимости в популярном программном обеспечении, чтобы скомпрометировать сразу множество жертв.

«Были похищены информация студентов, абитуриентов, данные о финансовой помощи, иммиграционные, медицинские и административные сведения», — говорится в сообщении, которое было отправлено одной из жертв. Хакеры утверждают, что украли данные студентов, в том числе домашние адреса, номера телефонов, электронные адреса и даты рождения.

Системы большинства вузов уже были взломаны в процессе более ранних кампаний, не связанных с данной.

По словам участника группы, первоначальной целью группы было взломать сервер PeopleSoft ФБР и опубликовать заявление, отрицающее причастность ShinyHunters к серии ложных вызовов, о которых спецслужба сообщило в прошлом месяце. Хакер признал, что эта попытка провалилась.

Oracle пока не комментировала взлом.

В мае гигант в сфере образовательных технологий Instructure сообщил об утечке данных, в итоге которой ShinyHunters похитили личную информацию студентов, в том числе их имена, адреса электронной почты и сообщения между учителями и учениками. Были украдены данные почти из 9000 школ по всему миру, которые содержали информацию о 231 млн человек.

Впоследствии в Instructure уплатили выкуп хакерам, которые угрожали опубликовать 3,5 ТБ данных учащихся. Сумма выкупа не разглашалась.