MandiantとGoogle脅威インテリジェンスグループ(GTIG)は、Oracle PeopleSoftインフラを標的とした活発な攻撃キャンペーンについて緊急警告を発しました。
このキャンペーンの背後にいる脅威アクターは、UNC6240として追跡されており、ShinyHuntersの名称で広く知られています。同グループは、Oracleが2026年6月10日にセキュリティアドバイザリを公開する前に、深刻なゼロデイリモートコード実行(RCE)脆弱性CVE-2026-35273(CVSS 9.8)を悪用しており、キャンペーン期間中のすべての侵入がゼロデイ攻撃に該当します。
活発な攻撃活動は2026年5月27日から6月9日にかけて観測されており、Oracle PeopleSoftのEnvironment Managementコンポーネント内のEnvironment Management Hub(PSEMHUB)エンドポイントが標的となっていました。
GTIGは、潜在的に脆弱なエンドポイントに関連するIPアドレスを持つ100社以上のグローバル組織に通知しました。影響を受けた組織の約68パーセントが高等教育機関(主に米国の大学や短期大学)であることが判明しています。
このキャンペーンが明らかになったきっかけは、セキュリティ研究者の@nahamike01がXでステージングサーバー上の攻撃者公開ディレクトリを公開したことです。これにより、GTIGはShinyHuntersの攻撃インフラを詳細にトリアージすることが可能になりました。
ShinyHuntersは、5つの連続したIPアドレス(142.11.200.186〜142.11.200.190)にまたがるステージングインフラを構築し、ポート8888でPython SimpleHTTPサーバーを稼働させてペイロードとツール類をホストしていました。
攻撃者は、正規のMicrosoft Azureサービスに偽装したカスタマイズ版MeshCentralリモート管理エージェントを展開しました。
エージェントバイナリmeshagent32-azure-ops.exe、meshagent64-azure-ops.exe、およびmeshagent64-v2.exeには、C2サーバーwss://azurenetfiles.net:443/agent.ashxへのビーコン送信先がハードコードされていました。
このドメインはMicrosoft Azure NetApp Filesを意図的に模倣しており、検出回避を目的としたものです。MeshCentralのセットアップは2026年5月27日22:14 UTC(協定世界時)に開始され、acme-clientによるSSL証明書の自動取得が22:25 UTCに続いて実行されました。
攻撃者はMeshCentralのCLIユーティリティmeshctrl.jsを使用して侵害ホスト上で偵察コマンドを実行し、psappsrv.cfgの読み取り、WebLogicのconfig.xmlファイルの検査、内部マウントポイントおよび/etc/hostsエントリの列挙を通じて、Oracle PeopleSoftの設定を把握していました。
被害者環境への侵入に成功すると、ShinyHuntersはカスタムの拡散スクリプト[victim_abbreviation]_fanout.shを展開しました。このスクリプトは、/etc/hostsから解析した内部PeopleSoftノードに対するSSH認証情報スプレー攻撃を自動化するものです。
GTIGによると、認証に成功した場合、スクリプトはWebLogicおよびProcess SchedulerのディレクトリにREADME-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXTという恐喝マーカーファイルを設置していました。
窃取されたデータはzstdで圧縮された後、攻撃者はShinyHuntersデータリークサイト(DLS)の公開ミラーである176.120.22.24へのSSH接続を確立して攻撃作戦を締めくくりました。複数の被害者から盗み出されたデータは、2026年6月9日にDLSで公開されています。
Oracleは、マルチサーバー構成ではEnvironment Management Hub(EMHub)サービスを無効化するか、シングルサーバー展開ではPSEMHUBアプリケーションを完全に削除することを推奨しています。
EMHubを無効化できない組織は、ファイアウォールまたはネットワーク境界で/PSEMHUB/*および/PSIGW/HttpListeningConnectorへの外部アクセスを直ちにブロックしてください。WAFのボディインスペクションルールのみに依存することは不十分であり、これらのコントロールは回避される可能性があります。
セキュリティチームは、外部IPからの/PSEMHUB/hubへのPOSTリクエストについてPIA WebLogicアクセスログを監査し、PSEMHUB.war/ディレクトリで不正な.jspウェブシェルをスキャンするとともに、PeopleSoftサーバーからのアウトバウンドSMBトラフィック(TCP 445)をNetNTLMハッシュ強制の兆候として監視する必要があります。
PSEMHUBパス配下にlogs、persistantstorage、scratchpadという名前の予期しないディレクトリが存在する場合は、侵害の指標として扱うべきです。
注記:IPアドレスとドメインは、誤った名前解決やハイパーリンク生成を防ぐため、意図的にデファング処理(例:[.])が施されています。MISP、VirusTotal、SIEMなど、管理されたスレットインテリジェンスプラットフォーム内でのみリファング(元の形式への復元)を行ってください。
翻訳元: https://cyberpress.org/oracle-peoplesoft-0-day-rce-flaw/
