ShinyHunters greifen Oracle-PeopleSoft-Server in Datendiebstahlkampagne an

Zusammenfassung

Oracle-PeopleSoft-Instanzen in Cloud- und On-Premises-Umgebungen sind Ziel laufender Datendiebstahlangriffe, die laut BleepingComputer mit Erpressungsschreiben der Gruppe ShinyHunters einhergehen. Die Täter bestätigten dem Medium, hinter der Kampagne zu stehen, und behaupten, Daten aus 300 Instanzen bei mehr als 100 Organisationen entwendet zu haben. PeopleSoft wird in großen Organisationen für Geschäftsprozesse wie Personalwesen, Gehaltsabrechnung, Finanzen, Lieferkettenmanagement, Beschaffung und Studierendenverwaltung eingesetzt. Nach Angaben der Angreifer nutzen sie für die Attacken eine „Gadget-Kette“ aus alten und Zero-Day-Schwachstellen. Zugleich räumen sie ein, dass der Angriff nicht auf allen Systemen funktioniere und der Erfolg von der Konfiguration der jeweiligen Instanz abhängen könne. Oracle reagierte auf eine Anfrage von BleepingComputer, ob dem Unternehmen eine in Datendiebstahlangriffen ausgenutzte Zero-Day-Lücke in Oracle PeopleSoft bekannt sei, zunächst nicht.

Nach Angaben von BleepingComputer erhielten betroffene Oracle-PeopleSoft-Kunden Erpressungsforderungen, die mit dem Namen der ShinyHunters-Gruppe unterzeichnet waren. Die Angreifer erklärten gegenüber dem Medium, sie hätten Daten aus 300 Instanzen bei mehr als 100 Organisationen gestohlen. Der Schwerpunkt liege demnach auf dem Bildungssektor; viele der betroffenen Einrichtungen seien von der Gruppe bereits zuvor erpresst worden.

Als ursprüngliches Ziel bezeichneten die Täter ein auf PeopleSoft basierendes Portal des FBI. Dort hätten sie eine Stellungnahme veröffentlichen und „die Dinge zu einigen Falschinformationen richtigstellen“ wollen. Dieser Versuch sei jedoch gescheitert; Zugriff auf die Instanz hätten sie nicht erlangt.

Als konkretes Opfer nannten die Angreifer die University of Nottingham. Deren Daten seien bereits auf der Datenleck-Seite von ShinyHunters veröffentlicht worden. Die Universität bestätigte ihrerseits in einer Erklärung, dass sie einen Cybersicherheitsvorfall erlitten hat.

Während Oracle öffentlich noch keine Informationen zu den Angriffen veröffentlicht hat, fand der Sicherheitsforscher „Michael R“ mehrere offen erreichbare Online-Verzeichnisse mit Werkzeugen, die mit der Kampagne in Verbindung stehen sollen. Er schrieb, ShinyHunters „oder eine Gruppe, die sich als sie ausgibt“, habe mehrere Verzeichnisse offengelegt, die eine laufende Ausrichtung auf PeopleSoft-Umgebungen erkennen ließen. Sichtbar gewesen seien zudem vorbereitete Materialien, darunter MeshCentral-Agenten sowie ein Skript für Defacement und Credential Spraying.

Der Forscher veröffentlichte außerdem mehrere IP-Adressen als Kompromittierungsindikatoren für diese Angriffe. Ein Teil dieser Adressen nutzte ein TLS-Zertifikat mit dem Common Name „azurenetfiles[.]net“, eine Domain, die zuvor bereits mit der Erpressergruppe ShinyHunters in Verbindung gebracht worden war.

Fünf der exponierten Server enthielten zudem eine Datei namens .bash_history, die Einblick in den Ablauf der Angriffe gab. Darin fand sich laut Bericht unter anderem ein Shell-Skript, das nach erfolgreicher Kompromittierung auf einem internen PeopleSoft-Server eine Lösegeldnotiz mit dem Namen „README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT“ anlegen sollte.

Das Skript wertet demnach die Datei /etc/hosts aus, um PeopleSoft-bezogene Systeme zu identifizieren, und versucht anschließend, sich per SSH mit gängigen administrativen PeopleSoft- und Oracle-Konten wie „psoft“, „oracle“ und „linuxadm“ zu verbinden. Schlägt die Passwortanmeldung fehl, versucht das Skript ersatzweise eine Authentifizierung per SSH-Schlüssel. Nach erfolgreicher Verbindung legt es die Nachricht in Verzeichnissen ab, die mit PeopleSoft-Web- und Anwendungsservern verknüpft sind.

ShinyHunters greifen Oracle-PeopleSoft-Server in Datendiebstahlkampagne an

Ähnliche Artikel

Neueste Artikel