セキュリティ研究者らは、サイバー犯罪者がOracle PeopleSoftのゼロデイ脆弱性を悪用し、主に高等教育機関を標的とした一連の攻撃で100以上の組織のネットワークへ侵入した可能性があると警告しています。
MandiantとGoogle Threat Intelligence Groupは、今月初めにShinyHuntersの継続的な活動監視の一環としてこの攻撃を把握したと述べています。悪名高いこのサイバー犯罪グループは100以上の組織へのハッキングを主張しており、火曜日から被害者名の公開と窃取したとされるデータの流出を開始しました。
ShinyHuntersの被害者とされる組織の一つ、ノッティンガム大学は水曜日、同グループが学校のデータの一部をリークしたことを受け、サイバー攻撃によって大量の学生データが盗まれたことを正式に認めました。
Mandiantによると、この攻撃は少なくとも5月27日にまで遡ります。Oracle PeopleSoft PeopleToolsの脆弱性CVE-2026-35273を悪用したもので、未認証の攻撃者がリモートコードを実行し、影響を受けるサーバーを乗っ取ることを可能にします。
Oracleは水曜日にこの脆弱性を公開し、軽減策のための手順をいくつか推奨しましたが、それは攻撃が始まってからすでに数週間が経過した後のことでした。同社はこの脆弱性に対処するパッチをまだリリースしておらず、コメントの求めにも応じていません。
Googleは100以上の組織に対し、環境内に脆弱性のあるエンドポイントが存在する可能性があると警告しましたが、実際に侵害を受けた被害者数の確認については言及を避けました。
「このキャンペーンは現在も進行中です。ShinyHuntersが本日も恐喝メッセージを送り続けていることが確認されています」と、Mandiant ConsultingのCTOであるCharles Carmakal氏は木曜日夜にCyberScoopへ語りました。同氏はさらに、Googleの把握範囲を超えた場所にも被害者が存在する可能性があると付け加えています。
Googleによると、潜在的な被害者の大多数は米国に拠点を置いており、そのうち68%が高等教育機関です。
「今年もShinyHuntersが教育分野を標的にしているのはこれまでに確認していますが、このターゲティングは、同分野の組織が保有するPeopleSoftインスタンスの多くが外部に露出していることを反映している可能性もあります」とCarmakal氏は述べています。
Oracle PeopleSoft PeopleToolsは、人事管理および顧客関係管理向けのツールを40以上含むスイート製品です。
今回の攻撃は、ClopランサムウェアグループがOracle E-Business Suiteのゼロデイ脆弱性を悪用し、数十の組織に影響を与えた事件から1年も経たないタイミングで発生しています。8月に始まったその攻撃に続くデータ窃取・恐喝キャンペーンが本格化したのは、10月に入ってからのことでした。
翻訳元: https://cyberscoop.com/oracle-peoplesoft-zero-day-vulnerability-shinyhunters-extortion/
