PeopleSoft 0-hari yang memengaruhi ratusan organisasi mencuri gigabyte data
“Meskipun beberapa organisasi berhasil memblokir aktivitas atau memperbaiki kerentanan, yang lain mengalami kompromi, sehingga data yang dicuri dipublikasikan di DLS ShinyHunters,” kata Mandiant. (DLS adalah kependekan dari situs kebocoran data.) Analisis skrip bash yang tersisa di lingkungan pementasan menunjukkan bahwa penyerang melakukan pengintaian terhadap organisasi yang disusupi, termasuk memetakan konfigurasi PeopleSoft, melihat penjadwal proses, dan konfigurasi XML server WebLogic. Akhirnya, pelaku ancaman membuat koneksi SSH keluar ke 176.120.22.24, alamat IP yang menampung DLS ShinyHunters. Data yang dicuri pertama kali dikompres menggunakan alat zstd. DLS mengklaim telah memulihkan 48GB data dari satu korban. Bagian DLS ShinyHunters yang disunting sebagian. Kredit: Mandiant Bagian DLS ShinyHunters yang disunting sebagian. Kredit: Mandiant ShinyHunters telah aktif setidaknya sejak tahun 2019. Selama beberapa tahun terakhir, mereka telah melakukan sejumlah peretasan terhadap beberapa perusahaan terbesar di dunia, yang berdampak pada jutaan orang di hilir. Contoh kecil korban termasuk Ticketmaster (melalui pelanggaran Snowflake, yang menampung data), bank terbesar di Spanyol, Santander, dan Salesforce (dan, melalui pelanggaran tersebut, Google dan, kabarnya, banyak perusahaan lainnya). ShinyHunters menggunakan berbagai teknik untuk mendapatkan akses awal, termasuk mengeksploitasi kesalahan konfigurasi cloud dan kerentanan perangkat lunak, mencuri token OAuth, serangan rantai pasokan, phishing suara, dan bentuk rekayasa sosial lainnya. Mandiant dan Rapid7 memberikan indikator kompromi yang terperinci. Mereka juga memberi saran kepada pelanggan PeopleSoft mengenai langkah-langkah yang harus segera mereka ambil. Mengingat tingkat keberhasilan ShinyHunters, semua pengguna PeopleSoft sebaiknya memperhatikan panggilan tersebut.
Diterbitkan : 2026-06-12 19:26:00
sumber : arstechnica.com
