PeopleSoft 0day 影響數百個組織並竊取千兆位元組的數據

Mandiant 表示：「雖然許多組織成功阻止了活動或修復了漏洞，但其他組織卻遭遇了漏洞，導致被盜資料在 ShinyHunters DLS 上發布。」（DLS 是資料外洩位置的縮寫。）

對暫存環境中剩餘 bash 腳本的分析表明，攻擊者對受感染的組織進行了偵察，包括映射 PeopleSoft 配置、流程調度視圖和 WebLogic Server XML 配置。最終，威脅行為者與 176.120.22.24（託管 ShinyHunters 的 DLS 服務的 IP 位址）建立了外部 SSH 連線。被盜資料首先使用 zstd 工具進行壓縮。 DLS 聲稱已從一名受害者身上恢復了 48GB 的​​資料。

ShinyHunters 至少從 2019 年起就一直活躍。在過去的幾年裡，它針對全球一些最大的公司進行了數十次駭客行動，影響了數百萬人。少數受害者包括 Ticketmaster（透過託管資料的 Snowflake 駭客攻擊）、西班牙最大的銀行、桑坦德銀行和 Salesforce（以及透過它的 Google 和許多其他公司）。 ShinyHunters 使用各種技術進行初步訪問，包括利用雲端錯誤配置和軟體漏洞、竊取 OAuth 令牌、供應鏈攻擊、語音網路釣魚和其他形式的社會工程。

Mandiant 和 Rapid7 都提供詳細的結算指標。他們也建議 PeopleSoft 客戶應立即採取哪些措施。鑑於 ShinyHunters 的成功率，所有 PeopleSoft 用戶最好都關注這項號召。