PeopleSoft 0-day, затронувший сотни организаций, похищает гигабайты данных

«В то время как несколько организаций успешно заблокировали эту деятельность или устранили уязвимости, другие столкнулись с компрометацией, в результате чего украденные данные были опубликованы в ShinyHunters DLS», — сказал Мандиант. (DLS — это сокращение от места утечки данных.)

Анализ bash-скрипта, оставленного в промежуточной среде, показывает, что злоумышленники провели разведку скомпрометированных организаций, включая сопоставление конфигураций PeopleSoft, просмотр планировщика процессов и XML-конфигураций сервера WebLogic. В конце концов злоумышленники установили исходящее SSH-соединение с 176.120.22.24, IP-адресом, на котором размещен DLS ShinyHunters. Украденные данные сначала были сжаты с помощью инструмента zstd. DLS заявила, что восстановила 48 ГБ данных от одной жертвы.

ShinyHunters активен как минимум с 2019 года. За последние несколько лет они осуществили множество хакерских атак против некоторых крупнейших компаний мира, от которых пострадали миллионы людей. Небольшая выборка жертв включает Ticketmaster (через взлом Snowflake, на котором размещались данные), крупнейший банк Испании Santander и Salesforce (а через него Google и, как сообщается, многие другие компании). ShinyHunters использует различные методы для получения первоначального доступа, в том числе использование неправильных конфигураций облака и уязвимостей программного обеспечения, кражу токенов OAuth, атаки на цепочки поставок, голосовой фишинг и другие формы социальной инженерии.

Mandiant и Rapid7 предоставляют подробные индикаторы компрометации. Они также консультируют клиентов PeopleSoft о шагах, которые им следует предпринять немедленно. Учитывая уровень успеха ShinyHunters, всем пользователям PeopleSoft следует прислушаться к этим призывам.