MandiantおよびGoogle Threat Intelligence Group(GTIG)の合同調査によると、Oracle PeopleSoftに新たに開示されたゼロデイ脆弱性が、脅威グループ「ShinyHunters」によって積極的に悪用されています。
CVE-2026-35273として追跡されているこの脆弱性は、CVSSスコア9.8の緊急レベルに分類されており、Environment Managementコンポーネントに存在し、認証なしでリモートコード実行(RCE)が可能です。
研究者らは、2026年5月27日から6月9日の間に悪用が行われていたことを確認しており、Oracleが公式アドバイザリを発行する前に攻撃が始まっていたことから、これは真のゼロデイ攻撃と言えます。
UNC6240(ShinyHunters)に帰属するとされるこのキャンペーンは、主に高等教育機関を標的としており、確認された被害組織の68%が大学や学術機関でした。
Oracle PeopleSoftゼロデイRCE脆弱性の詳細
攻撃者は、外部に公開されているEnvironment Management Hub(PSEMHUB)のエンドポイントを標的とし、この脆弱性を利用してPeopleSoft環境への初期アクセスを確立しました。
侵入後、攻撃者は体系的な侵害後フレームワークを展開しました。このフレームワークには、ステージングインフラ、リモート管理ツール、ラテラルムーブメントスクリプト、データ窃取の仕組みが含まれていました。
Mandiantは、公開されているIPアドレスと脆弱なシステムを照合した結果、100を超える組織に対してプロアクティブに通知を行ったと報告しています。しかし、複数の機関では侵害状態が継続しており、窃取されたデータは6月9日にShinyHuntersのデータ流出サイト(DLS)で公開されました。
今回の攻撃で重要な役割を果たしたのが、IPアドレスクラスター(142.11.200.186〜190)に展開された攻撃者管理のステージングサーバーです。これらのサーバーはポート8888上でPython HTTPサーバーを稼働させ、ディレクトリを公開していました。
これらのディレクトリには、ツール類、ペイロード、コマンド履歴が含まれており、研究者はその内容から攻撃チェーン全体を再構築することができました。展開されたペイロードの中には、正規のAzureサービスに偽装したカスタマイズ版MeshCentralエージェントが含まれており、meshagent64-azure-ops.exeおよびmeshagent32-azure-ops.exeという名称のバイナリが使用されていました。
これらのエージェントは、C2(コマンド&コントロール)サーバーとしてazurenetfiles.netと通信するよう設定されていました。このドメインは、MicrosoftのAzure NetAppインフラを模倣して検出を回避するために意図的に作成されたものです。
攻撃者のコマンド履歴を分析した結果、内部偵察と永続化に向けた体系的なアプローチが明らかになりました。
アクセスを確立した後、攻撃者はMeshCentralのコマンドラインインターフェース(meshctrl.js)を使用して、侵害済みホスト全体でコマンドを実行し、システム設定を列挙しました。また、psappsrv.cfgやWebLogicのconfig.xmlといったOracle PeopleSoft設定ファイルから機密情報を抽出しました。さらに/etc/hostsファイルの解析やマウントされたファイルシステムの調査を通じて内部ネットワークをマッピングし、標的を絞ったラテラルムーブメントを可能にしました。
被害組織の環境内での横断的移動には、[victim_abbreviation]_fanout.shという名称のカスタムスクリプトが使用されました。このスクリプトは、ハードコードされたユーザー名とパスワードの組み合わせを用いて、内部システムへのSSHクレデンシャルスプレーを自動化するものです。
認証に成功すると、WebLogicやProcess Schedulerのパスを含むPeopleSoftの重要なディレクトリに、改ざんと恐喝を示すマーカーファイルREADME-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXTがコピーされました。この行為は侵害を示すものであるとともに、その後のデータ窃取に紐付いた恐喝活動とも連動しています。
データ窃取の手口も公開されたログに明確に記録されていました。攻撃者は窃取したデータをzstdで圧縮した後、外部へ転送し、最終的にShinyHuntersのリークサイトの公開向けインフラに関連するIP 176.120.22.24へのアウトバウンドSSH接続を確立しました。さらに、テレメトリデータによると、この攻撃チェーンにはNetNTLMハッシュを取得するためのアウトバウンドSMB接続が含まれている可能性があり、侵害後の能力をさらに拡大していることが示唆されています。
セキュリティ専門家は、Oracle PeopleSoftを利用している組織は露出リスクを軽減するために早急な対応が必要だと警告しています。推奨される対策としては、可能であればEnvironment Management Hubサービスを無効化するか、/PSEMHUB/や/PSIGW/HttpListeningConnectorなどの機密エンドポイントへの外部アクセスを制限することが挙げられます。
また、WebLogicのアクセスログで不審なPOSTリクエストを確認すること、アウトバウンドSMBトラフィックを監視すること、PSEMHUBパス内に不正なJSPファイルやステージングディレクトリがないかファイルシステムの整合性チェックを実施することも推奨されています。
この脆弱性が認証不要であることと、標的型キャンペーンで積極的に悪用されていることを踏まえると、本インシデントはパッチが未適用のエンタープライズアプリケーションが依然として深刻なリスクをもたらすことを改めて示しています。
脆弱性の悪用、クレデンシャルを用いたラテラルムーブメント、そして恐喝が組み合わさった今回の手口は、ShinyHuntersの攻撃能力が着実に進化していることを示しており、エンタープライズ環境における迅速なパッチ適用と継続的な監視の重要性を強調しています。
IoC(侵害指標)
| カテゴリ | 種別 | 指標 / パス | 説明 |
|---|---|---|---|
| ネットワーク | IP | 142.11.200.186 | 攻撃者のステージングホスト(ポート8888でPython HTTP稼働) |
| ネットワーク | IP | 142.11.200.187 | 攻撃者のステージングホスト |
| ネットワーク | IP | 142.11.200.188 | 攻撃者のステージングホスト |
| ネットワーク | IP | 142.11.200.189 | 攻撃者のステージングホスト |
| ネットワーク | IP | 142.11.200.190 | 攻撃者のステージングホスト |
| ネットワーク | IP | 176.120.22.24 | ShinyHunters DLSの公開ミラー |
| ネットワーク | ドメイン | azurenetfiles.net | Azure NetAppに偽装したMeshCentral C2 |
| ファイル / ペイロード | SHA-256 | 2ab684d93c1553fad87041b4dea97188a97e78589deee2a7bacff905564f3a35 | 攻撃者の.bash_history(コマンド履歴) |
| ファイル / ペイロード | SHA-256 | f02a924c9ff92a8780ce812511341182c6b509d45bc59f3f7b522e37225d24fc | meshagent64-azure-ops.exe(Windowsエージェント) |
| ファイル / ペイロード | SHA-256 | d83fdb9e53c5ff03c4cb0451ea1bebd79b53f29eadc1e2fa394c7af13a86ce2f | meshagent64-v2.exe(Windowsエージェント) |
| ファイル / ペイロード | SHA-256 | c7e9332731b06644fc73e0046a2a89eaa59b09f54250e9bd622467187351711f | meshagent32-azure-ops.exe(Windowsエージェント) |
| ファイル / ペイロード | SHA-256 | 68257a6f9ff196179ec03624e849927f26599eb180a7c82e14ef5bc4e93bc309 | meshagent(未設定のLinuxエージェント) |
| ファイル / ペイロード | ファイル名 | README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT | 改ざん / 恐喝マーカーファイル |
| ファイル / ペイロード | ファイル名 | [victim_abbreviation]fanout.sh | SSHによる横断的移動スクリプト |
| HTTP / アプリ | HTTPパス | /PSEMHUB/hub | 悪用されたPeopleSoft EMHubエンドポイント |
| HTTP / アプリ | HTTPパス | /PSIGW/HttpListeningConnector | Integration Broker / SSRFピボット |
| ファイルシステム | ディレクトリ | PSEMHUB.war/envmetadata/transactions/ | 不正なステージングディレクトリの疑い |
| ファイルシステム | ディレクトリ | logs(PSEMHUBパス配下) | 不審なディレクトリ名 |
| ファイルシステム | ディレクトリ | persistantstorage(PSEMHUBパス配下) | 不審なディレクトリ名 |
| ファイルシステム | ディレクトリ | scratchpad(PSEMHUBパス配下) | 不審なディレクトリ名 |
| ファイルシステム | ファイルグロブ | PSEMHUB.war/*.jsp | 不審なWebシェルJSP |
| ファイルシステム | ファイルグロブ | envmetadata/data/environment/*.xml | XMLDecoderによる永続化 / 再起動時のRCE |
注意:IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])が施されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻して使用してください。
翻訳元: https://gbhackers.com/oracle-peoplesoft-zero-day-rce-vulnerability/
