Des serveurs qui utilisent la suite logicielle Oracle PeopleSoft font l’objet de campagnes actives de vol de données. Ces attaques sont attribuées au groupe d’extorsion ShinyHunters. Ce dernier affirme avoir dérobé des informations auprès de plus de cent organisations.
PeopleSoft est un progiciel d’entreprise. De grandes organisations l’utilisent pour gérer leurs opérations commerciales, comme les ressources humaines, la paie, la finance, la gestion de la chaîne d’approvisionnement, les achats ou l’administration des étudiants.
Des sources ont rapporté des vols de données massifs qui ciblent à la fois les instances cloud et sur site des clients d’Oracle PeopleSoft. Ces clients ont reçu des demandes de rançon signées par le gang ShinyHunters.
Les pirates ont confirmé leur implication. Ils déclarent avoir volé des données sur 300 instances, ce qui touche plus de cent organisations.
ShinyHunters explique qu’il emploie une chaîne d’exploits qui combine de vieilles vulnérabilités et des failles zero-day. Le groupe précise que sa méthode n’agit pas sur tous les systèmes. Le succès de l’exploitation dépendrait de la configuration spécifique de chaque instance.
L’éditeur Oracle a été contacté pour savoir s’il avait connaissance de l’exploitation d’une faille zero-day dans ses produits PeopleSoft. Aucune réponse n’a été obtenue pour le moment.
Selon les pirates, la majorité des organisations affectées appartiennent au secteur de l’éducation. Beaucoup d’entre elles auraient déjà été extorquées par ce groupe auparavant.
Leur objectif initial était de pénétrer un portail du FBI qui fonctionne avec PeopleSoft. Ils voulaient y publier un communiqué pour rectifier certaines informations qu’ils jugent erronées. Mais leur attaque a échoué et ils n’ont pas pu accéder à cette instance.
Les cybercriminels ont indiqué que l’Université de Nottingham était une victime de ces attaques. Ses données auraient déjà été publiées sur le site de fuite de ShinyHunters. L’université a elle-même publié un communiqué aujourd’hui. Elle reconnaît avoir subi un incident de cybersécurité.
Oracle n’a pas communiqué d’informations sur ces attaques. Cependant, un chercheur en sécurité a découvert plusieurs répertoires en ligne exposés. Ces répertoires contenaient des outils liés à cette campagne.
« ShinyHunters, ou un groupe qui se fait passer pour eux, a exposé plusieurs répertoires. Cela révèle un ciblage actif des environnements PeopleSoft », a écrit le chercheur.
On pouvait aussi voir des éléments de préparation, comme des agents MeshCentral, un script de défacement et un script pour pulvériser des identifiants.
Le chercheur a partagé les adresses IP suivantes comme indicateurs de compromission liés à ces attaques :
142.11.200[.]186
142.11.200[.]187
142.11.200[.]188
142.11.200[.]189
142.11.200[.]190
108.174.202[.]99
176.120.22[.]24
Certaines de ces adresses IP utilisaient un certificat TLS. Le nom commun de ce certificat était « azurenetfiles[.]net », un domaine déjà associé au groupe d’extorsion ShinyHunters.
Cinq des serveurs exposaient un fichier .bash_history. Ce fichier donne un aperçu des attaques. On y trouve un script shell conçu pour créer une note de rançon. Cette note s’intitule « README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT ». Elle est déposée sur un serveur PeopleSoft interne après son intrusion.
Source : Michael R
Le script analyse le fichier /etc/hosts pour identifier les systèmes liés à PeopleSoft. Il tente ensuite de s’y connecter via SSH. Pour cela, il utilise des comptes administratifs courants pour PeopleSoft et Oracle, comme ‘psoft’, ‘oracle’ et ‘linuxadm’.
Si l’authentification par mot de passe échoue, le script tente une authentification par clé SSH comme solution de repli.
Une fois la connexion établie, le script dépose la note de rançon dans les répertoires associés aux serveurs web et d’application de PeopleSoft.
Il est fortement recommandé aux administrateurs qui gèrent Oracle PeopleSoft d’analyser leurs journaux. Ils doivent vérifier toute connexion provenant des adresses IP listées ci-dessus pour déterminer s’ils ont été ciblés.
Si ces indicateurs de compromission sont détectés, les organisations doivent lancer immédiatement leur procédure de réponse aux incidents. Elles doivent enquêter pour savoir si leur instance PeopleSoft a été compromise. Il est aussi conseillé de retirer temporairement les serveurs affectés de l’accès à Internet. Cette mesure est à prendre tant que l’environnement n’a pas été sécurisé et audité.