friendica (DFRN) - Collegamento all'originale
The media in this post is not displayed to visitors. To view it, please log in.

ShinyHunters colpisce le università americane con uno zero-day Oracle PeopleSoft: l’operazione UNC6240 analizzata da Mandiant


@Informatica (Italy e non Italy)
Mandiant e GTIG hanno documentato una campagna attiva di compromissione ed estorsione condotta da ShinyHunters (UNC6240) contro Oracle PeopleSoft, sfruttando

(in)sicurezza digitale

2026-06-12 14:00:46

wordpress - Collegamento all'originale

ShinyHunters colpisce le università americane con uno zero-day Oracle PeopleSoft: l’operazione UNC6240 analizzata da Mandiant


Si parla di:
Toggle

Mandiant e Google Threat Intelligence Group (GTIG) hanno pubblicato oggi un rapporto dettagliato su una campagna attiva di compromissione ed estorsione attribuita a UNC6240, meglio noto come ShinyHunters. L’obiettivo: le istituzioni universitarie americane, colpite attraverso uno zero-day critico in Oracle PeopleSoft che ha consentito l’accesso non autenticato a centinaia di sistemi prima ancora che Oracle rilasciasse la patch.

Il vettore d’attacco: CVE-2026-35273, un RCE con CVSS 9.8


Al centro della campagna si trova CVE-2026-35273, una vulnerabilità di remote code execution (RCE) con punteggio CVSS di 9.8 nel componente Environment Management di Oracle PeopleSoft. Il punto di ingresso sfruttato è l’Environment Management Hub (PSEMHUB), un servizio amministrativo spesso esposto direttamente su Internet nelle configurazioni multi-server. L’attività — documentata tra il 27 maggio e il 9 giugno 2026 — ha preceduto l’advisory Oracle del 10 giugno 2026, classificando di fatto l’exploit come zero-day operativo per oltre due settimane.

GTIG ha identificato gli endpoint vulnerabili e avviato notifiche a oltre 100 organizzazioni globali, con una concentrazione geografica negli Stati Uniti. Particolarmente colpito il settore dell’istruzione superiore: il 68% delle organizzazioni notificate sono atenei e college.

Chi sono gli ShinyHunters: da BreachForums a campagne zero-day


ShinyHunters (tracciato da Mandiant come UNC6240) è un gruppo cybercriminale che si è fatto conoscere tra il 2020 e il 2022 per una serie di breach di alto profilo — AT&T, Ticketmaster, Santander, Advance Auto Parts — venduti poi su BreachForums. Il gruppo ha assunto il controllo di BreachForums dopo l’arresto degli amministratori precedenti, consolidando la propria posizione nell’ecosistema del cybercrime anglofono. La campagna attuale segna un’evoluzione tattica: da semplici acquirenti di accesso iniziale a gruppo capace di sviluppare o acquisire exploit zero-day per piattaforme enterprise.

Infrastruttura C2: MeshCentral travestito da Microsoft Azure


L’analisi delle directory aperte sui cinque host di staging (IP sequenziali 142.11.200.186–190) ha rivelato un’infrastruttura C2 basata su MeshCentral, un software open-source di remote management. Gli agenti Windows precompilati erano rinominati per mimare endpoint legittimi di Microsoft Azure:

  • meshagent64-azure-ops.exe
  • meshagent32-azure-ops.exe
  • meshagent64-v2.exe

Tutti gli agenti erano hardcoded per connettersi al server C2 wss://azurenetfiles.net:443/agent.ashx. Il dominio azurenetfiles.net è stato scelto per imitare Microsoft Azure NetApp Files, una tecnica di masquerading volta a confondere i team di sicurezza durante l’analisi dei log di rete. I server di staging eseguivano Python SimpleHTTP sulla porta 8888, inavvertitamente esposti al pubblico — errore OPSEC che ha permesso a Mandiant e ai ricercatori indipendenti di recuperare l’intero corredo di artefatti.

Timeline operativa e reconnaissance


Il file .bash_history — identico su tutti e cinque i server di staging — ha fornito una timeline dettagliata delle operazioni. Il 27 maggio 2026 alle 22:14 UTC gli attaccanti hanno installato MeshCentral (v1.1.59); pochi minuti dopo, alle 22:25 UTC, hanno configurato il client acme-client per l’automazione dei certificati Let’s Encrypt per il dominio di masquerading. La reconnaissance sulle reti interne delle vittime includeva:

  • Lettura del file psappsrv.cfg per estrarre hostname e indirizzi IP interni
  • Analisi dei mount NFS attivi (mount | grep psoft)
  • Lettura del file /etc/hosts per mappare la topologia interna
  • Ispezione delle configurazioni WebLogic (config.xml)


Propagazione laterale e script fanout


Una volta ottenuto l’accesso al primo nodo, gli attaccanti hanno utilizzato MeshCentral per distribuire uno script Bash denominato [victim_abbreviation]_fanout.sh, scritto direttamente in /tmp tramite heredoc. Lo script automatizza il credential spraying SSH verso gli host interni, parsing la lista da /etc/hosts, e — una volta ottenuto l’accesso — copia un file di estorsione nelle directory WebLogic e Process Scheduler:

README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT

L’esfiltrazione dei dati è avvenuta tramite compressione con zstd seguita da una connessione SSH in uscita verso 176.120.22.24, IP che ospita il mirror pubblico del ShinyHunters Data Leak Site (DLS). Il 9 giugno 2026, alcune organizzazioni vittime sono apparse sul DLS confermando la compromissione avvenuta con successo.

Indicatori di compromissione (IoC)

# IP di staging C2
142.11.200.186
142.11.200.187
142.11.200.188
142.11.200.189
142.11.200.190

# DLS mirror
176.120.22.24

# Dominio C2
azurenetfiles.net

# Hash SHA-256 artefatti
.bash_history:              2ab684d93c1553fad87041b4dea97188a97e78589deee2a7bacff905564f3a35
meshagent64-azure-ops.exe:  f02a924c9ff92a8780ce812511341182c6b509d45bc59f3f7b522e37225d24fc
meshagent64-v2.exe:         d83fdb9e53c5ff03c4cb0451ea1bebd79b53f29eadc1e2fa394c7af13a86ce2f
meshagent32-azure-ops.exe:  c7e9332731b06644fc73e0046a2a89eaa59b09f54250e9bd622467187351711f
meshagent (Linux):          68257a6f9ff196179ec03624e849927f26599eb180a7c82e14ef5bc4e93bc309

# Porte
Python SimpleHTTP: porta 8888
WebSocket C2: wss://azurenetfiles.net:443/agent.ashx

Azioni di remediation prioritarie


Per i team di sicurezza che gestiscono ambienti Oracle PeopleSoft, Mandiant raccomanda azioni immediate:

  • Disabilitare EMHub: in configurazioni multi-server, disabilitare il servizio Environment Management Hub; in configurazioni single-server, rimuovere completamente l’applicazione PSEMHUB.
  • Blocco perimetrale: bloccare l’accesso esterno agli endpoint /PSEMHUB/* e /PSIGW/HttpListeningConnector a livello firewall — non affidarsi esclusivamente a regole WAF.
  • Analisi log: verificare nei log WebLogic richieste POST anomale verso /PSEMHUB/hub da IP esterni.
  • Audit filesystem: cercare file .jsp non previsti in PSEMHUB.war/ e directory inattese logs/, persistantstorage/, scratchpad/.
  • Monitoraggio NetFlow: rilevare traffico SMB in uscita (porta 445) da host PeopleSoft verso destinazioni internet esterne (indicatore potenziale di cattura hash NetNTLM).

Fonte primaria: Mandiant / Google Cloud Blog, 11 giugno 2026.


ShinyHunters Targets Education Sector with Oracle PeopleSoft Exploit | Google Cloud Blog

An active compromise and extortion campaign attributed to ShinyHunters targeting Oracle PeopleSoft with a zero-day exploit.
Mandiant (Google Cloud Blog)

@Informatica (Italy e non Italy)