駭客組織 ShinyHunters 鎖定 PeopleSoft 漏洞，數百家企業面臨大規模資料外洩危機

近期一項針對企業軟體 PeopleSoft 的零日漏洞攻擊，導致全球數百家組織遭受威脅。根據資安公司 Mandiant 的分析，儘管部分企業成功攔截攻擊或修補了漏洞，但仍有受害者遭到入侵，導致機敏資料被公開在駭客組織 ShinyHunters 所經營的資料外洩網站（Data Leak Site, DLS）上。

攻擊手法：從系統偵察到資料外洩

調查人員在受害環境中發現了一個殘留的 Bash 指令碼，揭露了駭客的入侵路徑。攻擊者在取得初步存取權後，隨即展開系統偵察，針對 PeopleSoft 的設定進行映射，並查看處理排程器（Process Scheduler）與 WebLogic 伺服器的 XML 設定檔。隨後，攻擊者建立了通往 IP 位址 176.120.22.24 的 SSH 連線，該位址正是 ShinyHunters 資料外洩網站的託管處。駭客利用 zstd 工具將竊取的資料進行壓縮，其中單一受害者的資料外洩量高達 48GB。

ShinyHunters 的持續威脅

ShinyHunters 自 2019 年起便極為活躍，過去幾年針對全球大型企業發動多次攻擊，影響範圍波及數百萬人。其受害者名單包含 Ticketmaster（透過 Snowflake 平台遭駭）、西班牙最大銀行 Santander，以及 Salesforce（進而波及 Google 等多家企業）。該組織的攻擊手段多元，涵蓋雲端設定錯誤、軟體漏洞利用、竊取 OAuth 權杖、供應鏈攻擊、語音釣魚及其他社交工程手法。

While several organizations successfully blocked the activity or remediated the vulnerabilities, others experienced compromise, resulting in stolen data being published on the ShinyHunters DLS.

目前，Mandiant 與 Rapid7 已提供詳細的入侵指標（Indicators of Compromise），並針對 PeopleSoft 用戶提出應對建議。鑑於 ShinyHunters 過往的高成功率，資安專家強烈建議所有 PeopleSoft 用戶應立即檢視系統安全性並採取防護行動。