Киберпреступная группа ShinyHunters заявила о взломе серверов Oracle PeopleSoft более чем в 100 организациях. В большинстве случаев это университеты.
О взломах впервые сообщило издание BleepingComputer. PeopleSoft — это корпоративный пакет программного обеспечения, используемый крупными организациями для бизнес-операций, таких как управление персоналом, расчет заработной платы, финансы, цепочки поставок, закупки и администрирование студентов.
Атаки были нацелены как на облачные, так и на локальные экземпляры Oracle PeopleSoft у клиентов. Они получали требования о вымогательстве.
В ShinyHunters утверждают, что используют «цепочку гаджетов» со старыми уязвимостями для проведения атак, успех эксплуатации которых может зависеть от конфигурации экземпляра.
Злоумышленники сообщили BleepingComputer, что Ноттингемский университет стал жертвой этих атак, и что его данные уже были опубликованы на сайте утечек данных. Университет также опубликовал заявление, в котором признал, что пострадал от инцидента.
Хотя Oracle публично не раскрывала никакой информации об этих атаках, исследователь кибербезопасности Майкл Р. обнаружил несколько открытых онлайн-каталогов, содержащих инструменты, связанные с этой атакой. Он нашёл и материалы для подготовки к атаке, включая агенты MeshCentral, а также скрипт для взлома и сброса учётных данных.
Исследователь предоставил следующие IP-адреса в качестве индикаторов компрометации (IOC):
-
142.11.200[.]
-
186 142.11.200[.]
-
187 142.11.200[.]
-
188 142.11.200[.]
-
189 142.11.200[.]
-
190 108.174.202[.]
-
99 176.120.22[.]24
Некоторые из этих IP-адресов использовали TLS-сертификат с общим именем “azurenetfiles[.]net”, доменом, ранее связанным с группировкой вымогателей.
На пяти серверах был обнаружен файл .bash_history, который позволил получить некоторое представление об атаках, включая скрипт оболочки, предназначенный для создания записки с требованием выкупа под названием “README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT” на внутреннем сервере PeopleSoft после его взлома. Скрипт анализирует файл /etc/hosts для идентификации систем, связанных с PeopleSoft, и пытается подключиться к ним по SSH, используя распространённые административные учётные записи PeopleSoft и Oracle, такие как ‘psoft’, ‘oracle’ и ‘linuxadm’.
Если аутентификация по паролю не удаётся, скрипт пытается использовать аутентификацию на основе SSH-ключей в качестве резервного варианта. После установления соединения он размещает сообщение с требованием выкупа в каталогах, связанных с веб-серверами и серверами приложений PeopleSoft.
Тем, кто использует Oracle PeopleSoft, рекомендуется проанализировать журналы подключений с указанных выше IP-адресов, чтобы определить, стали ли они целью этих атак.
В случае обнаружения индикаторов компрометации организациям следует немедленно начать реагировать и рассмотреть возможность временного отключения затронутых серверов от доступа в Интернет до тех пор, пока среда не будет защищена и проверена.
PeopleSoft — это корпоративное программное обеспечение, предназначенное для управления заработной платой, персоналом, административными процессами и другими бизнес-операциями.
Метод работы ShinyHunters заключается в поиске уязвимости в популярном программном обеспечении, чтобы скомпрометировать сразу множество жертв.
«Были похищены данные студентов, абитуриентов, данные о финансовой помощи, иммиграционные, медицинские и административные сведения», — говорится в сообщении, которое было отправлено одной из жертв. Хакеры утверждают, что украли данные студентов, включая домашние адреса, номера телефонов, электронные адреса и даты рождения.
Системы большинства вузов уже были взломаны в ходе более ранних кампаний, не связанных с данной.
По словам участника группы, первоначальной целью группы было взломать сервер PeopleSoft ФБР и опубликовать заявление, отрицающее причастность ShinyHunters к серии ложных вызовов, о которых спецслужба сообщило в прошлом месяце. Хакер признал, что эта попытка провалилась.
Oracle пока не комментировала взлом.
В мае гигант в сфере образовательных технологий Instructure сообщил об утечке данных, в результате которой ShinyHunters похитили личную информацию студентов, включая их имена, адреса электронной почты и сообщения между учителями и учениками. Были украдены данные почти из 9000 школ по всему миру, которые содержали информацию о 231 млн человек.
Впоследствии в Instructure уплатили выкуп хакерам, которые угрожали опубликовать 3,5 ТБ данных учащихся. Сумма выкупа не разглашалась.
ссылка на оригинал статьи https://habr.com/ru/articles/1046329/