Хакеры заявили о взломе серверов Oracle PeopleSoft в более чем 100 организациях

Киберпреступная группа ShinyHunters заявила о взломе серверов Oracle PeopleSoft более чем в 100 организациях. В большинстве случаев это университеты.

О взломах впервые сообщило издание BleepingComputer. PeopleSoft — это корпоративный пакет программного обеспечения, используемый крупными организациями для бизнес-операций, таких как управление персоналом, расчет заработной платы, финансы, цепочки поставок, закупки и администрирование студентов.

Атаки были нацелены как на облачные, так и на локальные экземпляры Oracle PeopleSoft у клиентов. Они получали требования о вымогательстве.

В ShinyHunters утверждают, что используют «цепочку гаджетов» со старыми уязвимостями для проведения атак, успех эксплуатации которых может зависеть от конфигурации экземпляра.

Злоумышленники сообщили BleepingComputer, что Ноттингемский университет стал жертвой этих атак, и что его данные уже были опубликованы на сайте утечек данных. Университет также опубликовал заявление, в котором признал, что пострадал от инцидента.

Хотя Oracle публично не раскрывала никакой информации об этих атаках, исследователь кибербезопасности Майкл Р. обнаружил несколько открытых онлайн-каталогов, содержащих инструменты, связанные с этой атакой. Он нашёл и материалы для подготовки к атаке, включая агенты MeshCentral, а также скрипт для взлома и сброса учётных данных.

Исследователь предоставил следующие IP-адреса в качестве индикаторов компрометации (IOC):

142.11.200[.]

186 142.11.200[.]

187 142.11.200[.]

188 142.11.200[.]

189 142.11.200[.]

190 108.174.202[.]

99 176.120.22[.]24

Некоторые из этих IP-адресов использовали TLS-сертификат с общим именем “azurenetfiles[.]net”, доменом, ранее связанным с группировкой вымогателей.

На пяти серверах был обнаружен файл .bash_history, который