В конце мая - начале июня 2026 года специалисты компании Mandiant и подразделения Google Threat Intelligence Group (GTIG) зафиксировали масштабную кампанию по компрометации инфраструктуры Oracle PeopleSoft. Атака была организована группой UNC6240, известной также под именем ShinyHunters. Злоумышленники эксплуатировали ранее неизвестную уязвимость, получившую идентификатор CVE-2026-35273. Эта брешь относится к классу удалённого выполнения кода (RCE) и имеет критический рейтинг по шкале CVSS (Common Vulnerability Scoring System - стандартная система оценки опасности уязвимостей) - 9,8 из 10. Проблема затрагивает компонент управления средой (Environment Management) PeopleSoft, а именно точки входа PSEMHUB. Поскольку патч от Oracle вышел только 10 июня 2026 года, всю предшествующую этому периоду активность можно считать атакой на zero-day - уязвимость, к которой на момент эксплуатации не существовало защиты.
Описание
Mandiant и GTIG начали оповещать организации, чьи IP-адреса указывали на потенциально уязвимые серверы. Всего было уведомлено более 100 компаний по всему миру. Большая часть из них находится в США, причём 68 процентов приходится на сферу высшего образования - университеты и колледжи. В отчёте Mandiant подчёркивается, что злоумышленники активно сканировали сеть и применявшиеся ими методы указывают на целенаправленную атаку, а не на случайное заражение.
После того как публичный исследователь с ником @nahamike01 опубликовал в соцсети X данные об открытых директориях на серверах атакующих, сотрудники GTIG смогли провести детальный анализ инфраструктуры UNC6240. Выяснилось, что хакеры использовали несколько последовательных IP-адресов, на которых были развёрнуты Python-серверы для раздачи файлов через порт 8888. В этих директориях хранились промежуточные материалы, скомпилированные агенты и история команд.
Ключевым инструментом в кампании стал MeshCentral - открытое программное обеспечение для удалённого управления. Злоумышленники подготовили специальные версии агентов MeshCentral, замаскированные под сервисы Microsoft Azure. Файлы назывались meshagent32-azure-ops.exe, meshagent64-azure-ops.exe и meshagent64-v2.exe. После статического анализа выяснилось, что агенты были жёстко сконфигурированы на подключение к командному серверу по адресу wss://azurenetfiles[.]net:443/agent.ashx. Домен azurenetfiles.net был выбран для мимикрии под легитимные конечные точки Azure NetApp Files - типичный приём маскировки. Кроме того, на серверах был найден не сконфигурированный бинарник для Linux, что говорит о том, что параметры передачи передавались через командную строку прямо во время развёртывания.
Технический анализ истории команд, сохранённой в файле .bash_history, позволил восстановить хронологию действий:
27 мая 2026 года в 22:14 UTC хакеры установили MeshCentral версии 1.1.59 для создания инфраструктуры управления. Спустя 11 минут они установили пакет acme-client для автоматического получения SSL-сертификатов через Let's Encrypt - это позволило шифровать трафик между агентами и C2. У
Уже 29 мая в 18:46 UTC злоумышленники проверили наличие инструмента для подписи исполняемых файлов (authenticode), что указывает на попытку обойти контрольные суммы и антивирусную защиту.
После проникновения в сеть жертвы хакеры начинали целенаправленную разведку. Через утилиту командной строки meshctrl.js они выполняли запросы на заражённых машинах - узнавали имя хоста и идентификатор пользователя. Затем они считывали конфигурационные файлы Oracle PeopleSoft: psappsrv.cfg (настройки планировщика процессов) и config.xml (конфигурация WebLogic). В истории команд обнаружены попытки просканировать точки монтирования NFS (сетевые файловые системы) и файл /etc/hosts для выявления внутренних узлов. Таким образом хакеры составляли карту сети и определяли, какие серверы можно атаковать далее.
Особый интерес представляет скрипт распространения, который злоумышленники разместили на скомпрометированной системе. Скрипт, названный [victim_abbreviation]_fanout.sh, автоматически перебирал хосты из /etc/hosts, соответствующие определённому шаблону, и пытался подключиться к ним по SSH, используя жёстко закодированный список типовых логинов и паролей. После удачного входа скрипт копировал в каталоги WebLogic и планировщика процессов файл-маркер с названием README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT - это служило одновременно defacement (изменением внешнего вида сайта) и вымогательской меткой. Для выполнения скрипта на удалённых машинах хакеры использовали команду node meshctrl.js RunCommand с параметрами.
Завершающим этапом операции стал сбор и компрессия похищенных данных. В истории команд зафиксирована строка с использованием утилиты pv и архиватора zstd: pv -s "$(du -sb exfil | awk '{print $1}')" | zstd -3 -T0 -o exfil.tar.zst. После этого злоумышленники установили исходящее SSH-соединение со своего промежуточного сервера на IP-адрес 176.120.22.24. Как выяснили эксперты, этот адрес принадлежит публичному зеркалу сайта утечек ShinyHunters (Data Leak Site, или DLS). 9 июня 2026 года на этом сайте были опубликованы архивы с данными, соответствующие жертвам из кампании.
Таким образом, атака привела к реальной утечке конфиденциальной информации. Хотя многие организации из числа оповещённых успели заблокировать активность или устранить уязвимость, некоторые всё же понесли ущерб. Наиболее пострадавшим сектором стало высшее образование - университеты и колледжи, где системы PeopleSoft широко используются для управления учебными процессами и данными студентов.
Специалисты Mandiant и GTIG подчёркивают, что основная рекомендация для организаций, использующих Oracle PeopleSoft, - немедленно отключить службу Environment Management Hub (EMHub) или, если это невозможно, заблокировать внешний доступ к конечным точкам /PSEMHUB/* и /PSIGW/HttpListeningConnector на уровне межсетевых экранов. Также необходимо проверить серверные файловые системы на наличие неожиданных JSP-файлов в каталогах PSEMHUB.war, а также проконтролировать исходящий SMB-трафик (порт 445) на предмет подозрительных соединений. Применение критического обновления безопасности из бюллетеня Oracle от 10 июня 2026 года является обязательным.
Эта кампания демонстрирует возросшую сложность атак на корпоративные ERP-системы. Использование zero-day-уязвимости, маскировка под облачные сервисы и продуманная автоматизация распространения делают группу UNC6240 опасным противником для образовательных учреждений и других организаций, не успевших своевременно обновить инфраструктуру.
Индикаторы компрометации
IPv4
- 142.11.200.186
- 142.11.200.187
- 142.11.200.188
- 142.11.200.189
- 142.11.200.190
Domains
- azurenetfiles.net
WebSocket Secure
- wss://azurenetfiles.net:443/agent.ashx
SHA256
- 2ab684d93c1553fad87041b4dea97188a97e78589deee2a7bacff905564f3a35
- 68257a6f9ff196179ec03624e849927f26599eb180a7c82e14ef5bc4e93bc309
- c7e9332731b06644fc73e0046a2a89eaa59b09f54250e9bd622467187351711f
- d83fdb9e53c5ff03c4cb0451ea1bebd79b53f29eadc1e2fa394c7af13a86ce2f
- f02a924c9ff92a8780ce812511341182c6b509d45bc59f3f7b522e37225d24fc
