“بينما نجحت العديد من المؤسسات في حظر النشاط أو معالجة الثغرات، تعرضت أخرى للاختراق، مما أدى إلى نشر بيانات مسروقة على موقع ShinyHunters DLS،” قالت مانديانت. (DLS هو اختصار لموقع تسرب البيانات.)
يظهر تحليل لبرمجية bash تُركت في بيئة الانتظار أن المهاجمين قاموا بأعمال استكشاف على المؤسسات المخترقة، بما في ذلك رسم خريطة تكوينات PeopleSoft، ومشاهدة جدولة العمليات، وتكوينات خادم WebLogic XML. في نهاية المطاف، أنشأ المهاجمون اتصال SSH خارجي إلى 176.120.22.24، وهو عنوان IP الذي يستضيف DLS الخاص بـ ShinyHunters. تم ضغط البيانات المسروقة أولاً باستخدام أداة zstd. ادعى DLS أنه استعاد 48GB من البيانات من ضحية واحدة.
قسم تم تنقيحه جزئيًا من DLS الخاص بـ ShinyHunters.
الائتمان:
مانديانت
كان ShinyHunters نشطًا منذ عام 2019 على الأقل. على مدى السنوات الماضية، نفذ العشرات من الاختراقات ضد بعض أكبر الشركات في العالم، مما أثر على ملايين الأشخاص في الأسفل. تشمل عينة صغيرة من الضحايا Ticketmaster (من خلال اختراق Snowflake، الذي استضاف البيانات)، أكبر بنك في إسبانيا، Santander، و Salesforce (ومن ثم Google، و تقارير، العديد من الشركات الأخرى). يستخدم ShinyHunters تقنيات مختلفة للحصول على الوصول الأولي، بما في ذلك استغلال سوء تكوينات السحابة وثغرات البرمجيات، وسرقة رموز OAuth، وهجمات سلسلة التوريد، والاحتيال الصوتي، وأشكال أخرى من الهندسة الاجتماعية.
تقدم مانديانت و Rapid7 مؤشرات تفصيلية عن الاختراقات. كما ينصحون عملاء PeopleSoft بالخطوات التي ينبغي عليهم اتخاذها على الفور. نظرًا لمعدل نجاح ShinyHunters، سيكون من الحكمة لجميع مستخدمي PeopleSoft الانتباه إلى هذه الدعوات.
