TokyoBlackHatNews

bleepingcomputer.com 5分で読了

ShinyHuntersによるデータ窃取攻撃でOracle PeopleSoftサーバが侵害される

Oracle PeopleSoftのサーバが、ShinyHunters恐喝グループによる継続的なデータ窃取攻撃の標的となっています。同グループは100以上の組織からデータを盗み出したと主張しています。

PeopleSoftは、人事・給与・財務・サプライチェーン管理・調達・学生管理など、業務全般を管理するために大規模組織が利用するエンタープライズ向けビジネスソフトウェアスイートです。

昨日、BleepingComputerはクラウドおよびオンプレミスの両方のOracle PeopleSoftユーザー環境を標的とした大規模なデータ窃取攻撃の情報を入手しました。被害を受けた顧客には、ShinyHunters恐喝グループを名乗る恐喝要求が届いていました。

本日、この脅威アクターはBleepingComputerに対し、自分たちが一連の攻撃の首謀者であることを認め、100以上の組織にまたがる300のインスタンスからデータを盗んだと主張しました。

ShinyHuntersは、既知の脆弱性とゼロデイ脆弱性を組み合わせた「ガジェットチェーン」を使って攻撃を行っていると述べています。ただし、すべてのシステムで攻撃が成功するわけではなく、悪用の成否はインスタンスの設定によって異なる可能性があると見ています。

BleepingComputerは今朝、Oracle PeopleSoftのゼロデイ脆弱性がデータ窃取攻撃に悪用されていることを把握しているかどうかについてOracleに問い合わせましたが、本稿執筆時点では回答を得られていません。

脅威アクターによると、今回の攻撃で被害を受けた組織の多くは教育分野に属しており、そのうちの多くは以前にも同グループから恐喝を受けていたとのことです。

同グループは当初、PeopleSoftを使用するFBIのポータルへの侵入を試み、「拡散している誤情報を正すための声明を公開しようとした」と主張しています。しかし、この攻撃は失敗に終わり、そのインスタンスへのアクセスは得られなかったとのことです。

脅威アクターはBleepingComputerに対し、ノッティンガム大学が今回の攻撃の被害者であり、そのデータはすでにShinyHuntersのデータリークサイトに公開されていると述べました。同大学も本日、サイバーセキュリティインシデントが発生したことを認める声明を発表しています。

Oracleは今回の攻撃に関する情報を公式に開示していませんが、サイバーセキュリティ研究者の「Michael R」氏が、この攻撃に関連するツール類を含む複数の公開ディレクトリをインターネット上で発見しました。

「ShinyHunters(またはそれを装ったグループ)が複数のディレクトリを公開しており、PeopleSoft(ERPソフトウェア)環境への継続的な攻撃の実態が明らかになっています」と同研究者は投稿しています

「MeshCentralエージェントを含むステージング素材のほか、改ざんおよびクレデンシャルスプレー攻撃用のスクリプトも確認されました。」

同研究者は、これらの攻撃に関連する侵害の痕跡(IOC)として以下のIPアドレスを共有しています。

142.11.200[.]186
142.11.200[.]187
142.11.200[.]188
142.11.200[.]189
142.11.200[.]190
108.174.202[.]99
176.120.22[.]24

これらのIPアドレスの一部は、コモンネームに「azurenetfiles[.]net」を使用したTLS証明書を持っており、このドメインは以前にもShinyHunters恐喝グループとの関連が指摘されていました。

5台のサーバーでは.bash_historyファイルが公開されており、攻撃の手口の一端が明らかになりました。その中には、侵害されたPeopleSoft内部サーバー上に「README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT」という名前の身代金要求メモを作成するシェルスクリプトが含まれていました。

Image

このスクリプトは/etc/hostsを解析してPeopleSoft関連システムを特定し、’psoft’、’oracle’、’linuxadm’といったPeopleSoftおよびOracleの一般的な管理者アカウントを使用してSSH接続を試みます。

パスワード認証が失敗した場合は、フォールバックとしてSSH鍵認証を試みます。

接続が確立されると、スクリプトはPeopleSoftのWebサーバーおよびアプリケーションサーバーに関連するディレクトリに身代金要求メモを配置します。

Oracle PeopleSoftを運用している場合は、上記のIPアドレスからの接続がないかログを解析し、今回の攻撃の標的となっていないかを確認することを強くお勧めします。

これらのIOCが検出された場合、組織はただちにインシデントレスポンスを開始し、PeopleSoftインスタンスが侵害されているかどうかを調査するとともに、環境の安全が確認されるまでの間、影響を受けたサーバーをインターネットから一時的に切り離すことを検討してください。

攻撃者よりも先に全レイヤーをテストする

セキュリティチームが記録できるのは成功した攻撃の54%に過ぎず、アラートが上がるのはわずか14%です。残りの攻撃は検知されずに環境内を動き回っています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)を活用してSIEMおよびEDRのルールをテストし、脅威の検知漏れを防ぐ方法を解説しています。

ホワイトペーパーをダウンロードする

翻訳元: https://www.bleepingcomputer.com/news/security/oracle-peoplesoft-servers-hacked-in-shinyhunters-data-theft-attacks/

ソース: bleepingcomputer.com
#Oracle PeopleSoft #ShinyHunters #インシデントレスポンス #エンタープライズセキュリティ #サイバー攻撃 #ゼロデイ脆弱性 #データ窃取 #侵害の痕跡(IoC) #恐喝 #身代金要求

関連記事

GitHubがサプライチェーン攻撃対策としてnpmのセキュリティ仕様変更を発表

Ivanti:Sentryに最大深刻度の脆弱性——rootとしてのコード実行が可能に

中国系JDYボットネット、米軍ネットワークへの標的を拡大