Oracle PeopleSoft серверите хакирани во напади за кражба на податоци од групата ShinyHunters

Oracle PeopleSoft серверите се мета на тековни напади за кражба на податоци од страна на изнудувачката група ShinyHunters, која тврди дека украла податоци од повеќе од 100 организации.

Oracle PeopleSoft е деловен софтверски пакет што го користат големи организации за управување со деловни процеси како што се човечки ресурси, плати, финансии, управување со синџирот на снабдување, набавки и студентска администрација.

Вчера, BleepingComputer дозна за широко распространети напади за кражба на податоци насочени кон cloud и локални (on-premises) инсталации на Oracle PeopleSoft. Засегнатите организации добивале пораки за изнуда потпишани од групата ShinyHunters.

Денес, заканувачкиот актер потврди за BleepingComputer дека стои зад нападите и тврди дека украл податоци од околу 300 инстанци на системот во повеќе од 100 организации.

Според ShinyHunters, тие користат „ланец од ранливости“ (gadget chain) кој комбинира постари и zero-day пропусти за да ги изведат нападите. Сепак, тие наведуваат дека нападот не функционира на сите системи и дека успехот на експлоатацијата може да зависи од начинот на конфигурација на конкретната инстанца.

BleepingComputer контактирал со Oracle за да провери дали компанијата е запознаена со евентуална zero-day ранливост во PeopleSoft што се користи за овие напади, но во моментот на објавување немало одговор.

Според тврдењата на напаѓачите, најголем дел од погодените организации се од образовниот сектор, а многу од нив претходно веќе биле мета на изнуда од истата група.

Тие наведуваат дека нивната првична цел била да компромитираат портал на Federal Bureau of Investigation кој работел на PeopleSoft, со намера да објават изјава и да „ги исправат одредени дезинформации што се ширеле“. Сепак, според нивните тврдења, нападот бил неуспешен и не успеале да добијат пристап до системот.

Групата исто така изјавила дека University of Nottingham е една од жртвите и дека нејзините податоци веќе биле објавени на страницата на ShinyHunters за објавување украдени информации. Универзитетот денес издаде соопштение во кое потврди дека претрпел сајбер-безбедносен инцидент.

Иако Oracle сè уште нема јавно објавено детали за овие напади, истражувачот за сајбер-безбедност познат како Michael R пронашол неколку јавно достапни директориуми кои содржеле алатки поврзани со нападот.

Истражувачот напиша:

„ShinyHunters, или група што се претставува како нив, изложиле неколку директориуми кои покажуваат тековно таргетирање на PeopleSoft околини (ERP софтвер).“

Тој додаде дека биле видливи и подготвителни материјали за нападот, вклучувајќи агенти за MeshCentral, како и скрипти за дефејс (defacement) и масовно тестирање на кориснички акредитиви (credential spraying).

Истражувачот ги сподели следните IP адреси како индикатори на компромитација (IOC) поврзани со овие напади:

142.11.200[.]186
142.11.200[.]187
142.11.200[.]188
142.11.200[.]189
142.11.200[.]190
108.174.202[.]99
176.120.22[.]24

Некои од овие IP адреси користеле TLS сертификат со заедничко име (Common Name) „azurenetfiles[.]net“, домен кој претходно бил поврзуван со изнудувачката група ShinyHunters.

Пет од серверите имале јавно достапна датотека .bash_history, која овозможила увид во нападите, вклучувајќи shell-скрипта дизајнирана да креира порака за откуп со име „README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT“ на внатрешен PeopleSoft сервер откако ќе биде компромитиран.

Скриптата ја анализира датотеката /etc/hosts за да ги идентификува системите поврзани со PeopleSoft и се обидува да се поврзе со нив преку SSH користејќи вообичаени административни сметки за PeopleSoft и Oracle, како што се „psoft“, „oracle“ и „linuxadm“.

Доколку автентикацијата со лозинка не успее, скриптата се обидува да користи SSH автентикација базирана на клучеви како резервна опција.

Откако ќе воспостави врска, скриптата ја поставува пораката за откуп во директориуми поврзани со PeopleSoft веб и апликациските сервери.

Доколку користите Oracle PeopleSoft, силно се препорачува да ги анализирате логовите за какви било конекции од наведените IP адреси за да утврдите дали сте биле цел на овие напади.

Доколку се пронајдат овие индикатори на компромитација (IOC), организациите треба веднаш да започнат со процедури за одговор на инцидент, да истражат дали нивната PeopleSoft инстанца била компромитирана и да размислат за привремено исклучување на погодените сервери од интернет сè додека околината не биде обезбедена и детално прегледана.

Извори:

• Bleeping Computer – Oracle PeopleSoft servers hacked in ShinyHunters data theft attacks Bleeping Computer