ShinyHunters利用Oracle漏洞窃取100+组织数据

网络犯罪组织 ShinyHunters 针对 Oracle PeopleSoft 服务器发动新一轮大规模数据窃取攻击，声称已从 100 多个组织窃取数据，这是该组织最新的大规模勒索行动。诺丁汉大学周二证实其是受害者之一，并表示“大量数据”遭到泄露。

广泛攻击利用漏洞链

ShinyHunters 向 BleepingComputer 透露，他们利用所谓的“小工具链”（包括旧漏洞和零日漏洞）突破了 100 多个组织中的 300 个 PeopleSoft 实例。该组织承认，攻击并非对所有系统有效，可能取决于具体实例的配置方式。受影响组织大多来自教育领域。

截至周一，Oracle 尚未公开回应此次攻击。然而，一名化名“Michael R”的网络安全研究员发现了暴露的在线目录，其中包含与攻击相关的准备材料，包括 MeshCentral 代理和凭证喷射脚本。该研究员发布了一组 IP 地址作为入侵指标，其中多个地址使用了此前与 ShinyHunters 基础设施相关的 TLS 证书。

诺丁汉大学确认数据泄露

诺丁汉大学表示，其在 6 月 9 日（周二）发现 Campus Solutions 学生记录系统出现未授权活动。根据 BBC 查阅的发给受影响个人的电子邮件，首席治理与风险官 Jason Carter 称，大学“谨慎假设”联系信息、大学相关信息、财务数据以及包括国民保险号码和受保护特征在内的个人信息已被访问。

该大学表示已关闭受影响系统，并与 Campus Solutions 平台的第三方提供商合作展开取证调查。信息专员办公室确认已收到大学报告，并表示正在“评估提供的信息”。国家犯罪局和反欺诈行动也已介入。

ShinyHunters 行动升级

PeopleSoft 攻击是 ShinyHunters 的最新升级行动，该组织近期频繁针对企业软件平台。5 月，该组织声称入侵了 Instructure 的 Canvas 学习管理系统，影响了数千家教育机构，促使 FBI 发布公共服务公告警告该组织的策略。2026 年初，ShinyHunters 通过 Oracle PeopleSoft 环境入侵永利度假村，窃取了约 80 万员工数据。

BleepingComputer 报道称，暴露的服务器日志显示存在一个 shell 脚本，用于在被攻陷的 PeopleSoft 服务器上放置名为“README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT”的勒索信，并利用常用管理账户在内部系统横向移动。建议运行 PeopleSoft 的组织检查日志中是否出现已发布的入侵指标，并考虑暂时将受影响的服务器从互联网上断开。