
ShinyHunters借PeopleSoft零日入侵高校
ShinyHunters勒索团伙利用Oracle PeopleSoft未修补漏洞CVE-2026-35273入侵企业系统、窃取数据并索要赎金,受影响机构中高校最严重。漏洞无需登录或交互,且可经HTTP远程执行代码;Oracle与Mandiant建议立即限制PSEMHUB等外部访问并按版本打补丁。
ShinyHunters 勒索团伙利用 Oracle PeopleSoft 中一个未修补的缺陷入侵企业系统、窃取数据,并要求付款以保密。此次活动对高校打击最重。
Google 的 Mandiant 将其归因于其追踪为 UNC6240 的团伙,并将活动时间定在 5 月 27 日至 6 月 9 日之间。Oracle 直到 6 月 10 日才发布公告,因此在整个期间内,这个漏洞一直是 zero-day。
该缺陷 CVE-2026-35273 是 PeopleSoft Enterprise PeopleTools 中一个远程代码执行漏洞,严重度评分为 9.8/10。它不需要登录,也不需要用户交互,只要通过 HTTP 获得网络访问,就能接管服务器。如果你在外部可访问的情况下运行带有 Environment Management Hub 的 PeopleSoft,那么你的系统就处于暴露状态,最直接的做法是立即将这些端点锁定。
该漏洞位于 Updates Environment Management 组件,也就是 Environment Management Hub(PSEMHUB)背后的那一部分。Oracle 列出 PeopleTools 8.61 和 8.62 受到影响,并表示更早、且已不受支持的版本也可能存在漏洞。Oracle 将报告归功于 TrendAI Zero Day Initiative 和 TrendAI Research 的研究人员。
Mandiant CTO Charles Carmakal 证实该漏洞正在被实战利用;Oracle 并未说明自己是否已经看到利用行为。其公告指向一个位于支持登录之后的补丁可用性文档,而完整修复是否已广泛提供尚不清楚。目前,指导重点集中在缓解措施上。
这次行动的运营细节之所以公开,是因为攻击者自己把工具暴露了出来。研究员 @nahamike01 公开标出了这些开放目录。随后 Mandiant 发现有 5 个连续的 IP 地址在 8888 端口运行 Python 的 SimpleHTTP server。这些服务器暴露了暂存文件:一个共享的 .bash_history、伪装成 Microsoft Azure 二进制文件的自定义 MeshCentral 远程管理代理,以及一个横向移动脚本。
这些代理会回连到位于 azurenetfiles.net 的命令与控制服务器,这个域名故意选得像 Azure NetApp Files。名为 [victim]_fanout.sh 的脚本通过 SSH 横向扩散:它对从 /etc/hosts 中提取的内部主机,使用硬编码的用户名和密码列表进行喷洒,然后在 PeopleSoft 目录中投放一个名为 README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT 的标记文件。命令历史显示,数据被用 zstd 压缩,并通过 SSH 连接到托管 ShinyHunters 泄露站公开镜像的服务器外传。
Mandiant 已通知 100 多个其 IP 地址与受影响端点匹配的组织。其中 68% 位于高等教育机构,大多在美国。有些组织阻止了这次活动;另一些则已被入侵,数据也被发布到泄露站。
诺丁汉大学是首批得到确认的受害者之一。Have I Been Pwned 已统计到泄露数据集中约 455,000 个唯一电子邮件地址,涵盖在校学生和校友,数据包括姓名、地址、电话号码、护照号码,以及族裔和残障信息。该大学已确认遭到入侵。
Oracle 的建议是:在多服务器部署中禁用 Environment Management Hub 服务,或在单服务器部署中直接移除 PSEMHUB 应用。如果无法做到这两点,就在边界处阻止对 /PSEMHUB/*(尤其是 /PSEMHUB/hub)以及 /PSIGW/HttpListeningConnector 的外部访问。
Mandiant 警告,仅靠 WAF 的正文检测规则并不足够,因为可以被绕过。限制这些端点不会影响正常用户会话。
随后要寻找已有入侵的迹象:
WebLogic 访问日志中出现指向 /PSEMHUB/hub 或 /PSIGW/HttpListeningConnector 的外部 POST 请求。
PSEMHUB.war Web 应用目录下出现意外的 .jsp 文件,或者在 PSEMHUB 路径下出现名为 logs、persistantstorage 或 scratchpad 的异常文件夹。
web doc root 的 envmetadata/data/environment 下最近被修改的 .xml 文件,这些文件可被滥用于 XMLDecoder 持久化,并在下次重启时触发。
PeopleSoft 主机向外部目标发起的 445 端口出站 SMB 流量,因为攻击链可能会利用它来捕获机器账户的 NetNTLM 哈希。
在确认 My Oracle Support 中已提供适用于你 PeopleTools 版本的更新后,请立即应用 Oracle 的更新。
ShinyHunters 说,受害者接触工作才刚刚开始,而且它还没有公布其声称的大多数组织,因此可能会出现更多名字。
更值得关注的是其手法。ShinyHunters 最近更依赖 vishing、被盗 token 和薄弱访问控制,从 SaaS 和教育平台窃取数据,目标包括 Salesforce 客户和 Canvas。对本地部署 ERP 软件下手的服务器端 zero-day,比这更进一步,而且瞄准的仍是同样数据密集的目标。
目前未解的问题是:这究竟是一次借来的零日的一次性行动,还是 ShinyHunters 开始转向 ERP 利用的开端。