Dünyanın en aktif fidye yazılım gruplarından biri, Oracle'ın PeopleSoft yazılım paketindeki kritik bir zafiyeti kullanarak yaklaşık 100 müşterisini hedef aldı ve çalınan verileri sızdırmamak için en az birinden fidye istediği belirtildi.
ShinyHunters olarak bilinen grup, Oracle zafiyeti tespit edip duyurmadan önce iki haftadan uzun bir süredir bu güvenlik açığını kullanıyordu. Güvenlik açığı, 9.8 gibi çok yüksek bir ciddiyet derecesine sahip ve yılın en kritik açıklarından biri olarak öne çıkıyor.
Google'ın Mandiant güvenlik ekibi, bu zafiyetin, saldırganların hedef alınan kurumun kullandığı sistemlere hassas bir sunucu üzerinden istek göndermesine olanak tanıyan bir SSRF (sunucu tarafı istek sahteciliği) türü olduğunu bildirdi. Oracle, bu SSRF'nin uzaktan istismar edilebileceğini ve şirketin geçici bir çözüm sunduğunu ancak açığı tam olarak kapatmadığını belirtti. Google, mağdurların fidye talepleri aldığını da doğruladı.
2 Haftadır İstismar Edilen 9.8 Puanlık Kritik Açık
Nottingham Üniversitesi, Çarşamba günü yaptığı açıklamada, büyük miktarda öğrenci verisinin bir tehdit aktörünün eline geçtiği bir veri güvenliği olayının mağduru olduğunu doğruladı. ShinyHunters'ın üniversiteyi son kurbanlarından biri olarak gösterip hack sırasında çaldığını iddia ettiği gigabaytlarca veriyi yayınlamasının ardından bu açıklama geldi.
Mandiant, ShinyHunters'ın 27 Mayıs'tan beri bu güvenlik açığını istismar ettiğini belirtti. Çarşamba itibarıyla grup, 100 kuruluşa ait yaklaşık 300 noktayı hedef almıştı. Hedeflenen kuruluşların yaklaşık %68'i yükseköğretim sektöründe faaliyet gösteriyordu. Bir güvenlik araştırmacısı, ilgili grubun PeopleSoft'un sürekli hedef alındığını gösteren birkaç dizini ifşa ettiğini söyledi. Saldırganlar ayrıca saldırıda kullanılan araçları içeren bir hazırlık sunucusu da bırakmış.
Mandiant, "Bazı kuruluşlar faaliyeti başarıyla engelledi veya güvenlik açıklarını giderdi, ancak diğerleri ele geçirilme yaşadı ve çalınan veriler ShinyHunters'ın DLS'sinde (veri sızıntısı sitesi) yayınlandı" açıklamasını yaptı.
Hazırlık ortamında bırakılan bir betiğin analizi, saldırganların ele geçirilen kurumlar üzerindePeopleSoft yapılandırmalarını haritalama, işlem zamanlayıcı ve WebLogic sunucu XML yapılandırmalarını görüntüleme gibi keşif çalışmaları yürüttüğünü gösteriyor. Son olarak, tehdit aktörleri ShinyHunters'ın DLS'sini barındıran IP adresine (176.120.22.24) dışarıya doğru bir SSH bağlantısı kurdu. Çalınan veriler ilk olarak zstd aracı kullanılarak sıkıştırıldı. DLS, tek bir kurbandan 48 GB veri kurtardığını iddia etti.
ShinyHunters, en az 2019'dan beri aktif durumda. Son birkaç yılda, dünyanın en büyük şirketlerinden bazılarına yönelik çok sayıda hack gerçekleştirdi ve milyonlarca insanı etkiledi. Kurbanlar arasında Ticketmaster, İspanya'nın en büyük bankası Santander ve Salesforce (ve bunun aracılığıyla Google ve birçok başka şirket) bulunuyor. ShinyHunters, ilk erişimi sağlamak için bulut yapılandırma hatalarını istismar etme, yazılım güvenlik açıklarını kullanma, OAuth belirteçlerini çalma, tedarik zinciri saldırıları, sesli kimlik avı ve diğer sosyal mühendislik biçimleri dahil olmak üzere çeşitli teknikler kullanıyor.
Mandiant ve Rapid7, ayrıntılı saldırı göstergeleri sağlıyor ve PeopleSoft müşterilerine hemen atmaları gereken adımlar konusunda tavsiyelerde bulunuyor. ShinyHunters'ın başarı oranı göz önüne alındığında, tüm PeopleSoft kullanıcılarının bu çağrılara kulak vermesi faydalı olacaktır.
