Một chiến dịch xâm nhập và tống tiền có chủ đích đang nhắm mục tiêu vào cơ sở hạ tầng Oracle PeopleSoft, khai thác lỗ hổng CVE-2026-35273, một lỗ hổng zero-day nghiêm trọng. Các nhà nghiên cứu từ Mandiant và Google Threat Intelligence Group (GTIG) đã đưa ra cảnh báo sau khi xác định hoạt động tấn công này diễn ra trong khoảng thời gian từ ngày 27 tháng 5 đến ngày 9 tháng 6 năm 2026. Kẻ tấn công được xác định là UNC6240, còn được biết đến với tên ShinyHunters.
Chi tiết về Lỗ hổng CVE-2026-35273
Lỗ hổng CVE-2026-35273 là một lỗ hổng thực thi mã từ xa không xác thực (unauthenticated remote code execution – RCE) với điểm số CVSS lên tới 9.8. Đây là một lỗ hổng nghiêm trọng cho phép kẻ tấn công chiếm quyền điều khiển hệ thống mà không cần bất kỳ thông tin xác thực nào. Lỗ hổng này đã được khai thác dưới dạng zero-day trước khi Oracle phát hành bản vá bảo mật chính thức vào ngày 10 tháng 6 năm 2026.
Mục tiêu tấn công
Các cuộc tấn công tập trung vào thành phần Environment Management Hub (PSEMHUB) trong các phiên bản Oracle PeopleTools 8.61 và 8.62. Google Threat Intelligence Group đã thông báo cho hơn 100 tổ chức trên toàn cầu có địa chỉ IP trùng khớp với các điểm cuối tiềm ẩn nguy cơ bị tấn công. Đáng chú ý, 68% các nạn nhân được ghi nhận thuộc lĩnh vực giáo dục đại học, bao gồm các trường đại học và cao đẳng trên toàn thế giới.
Hoạt động của kẻ tấn công
Hoạt động độc hại được quan sát cho thấy kẻ tấn công đã thiết lập môi trường staging vào ngày 27 tháng 5 năm 2026. Họ đã triển khai MeshCentral v1.1.59 và sử dụng gói acme-client npm để tự động hóa việc cấp chứng chỉ SSL Let’s Encrypt cho tên miền giả mạo. Tên miền này được thiết kế để giả lập các điểm cuối Microsoft Azure NetApp Files hợp pháp, với mục tiêu thiết lập kênh liên lạc C2.
Cơ sở hạ tầng và công cụ sử dụng
GTIG đã phân tích năm địa chỉ IP staging liên tiếp, từ 142.11.200.186 đến 142.11.200.190. Mỗi địa chỉ IP này đều chạy máy chủ Python SimpleHTTP trên cổng 8888. Các thư mục được phơi bày chứa lịch sử lệnh của kẻ tấn công, tài liệu staging và các agent quản lý từ xa MeshCentral được cấu hình sẵn.
Các agent Windows được ngụy trang thành các dịch vụ hợp pháp của Microsoft Azure, với tên gọi như meshagent32-azure-ops.exe, meshagent64-azure-ops.exe, và meshagent64-v2.exe. Các agent này được mã hóa cứng để thiết lập liên lạc C2 với địa chỉ wss://azurenetfiles.net:443/agent.ashx.
Kỹ thuật xâm nhập và di chuyển ngang
Kẻ tấn công sử dụng công cụ dòng lệnh meshctrl.js để thực thi các lệnh do thám có mục tiêu trên các máy chủ bị xâm nhập. Họ tiến hành kiểm tra cấu hình Oracle PeopleSoft bằng cách xem xét tệp psappsrv.cfg, kiểm tra các mount NFS đang hoạt động và đọc tệp config.xml của WebLogic để lập bản đồ các máy chủ ứng dụng nội bộ.
Việc di chuyển ngang (lateral movement) được tự động hóa thông qua một tập lệnh lan truyền tùy chỉnh có tên [victim_abbreviation]_fanout.sh, được triển khai vào thư mục /tmp. Tập lệnh này thực hiện việc xịt thông tin đăng nhập SSH (SSH credential spraying) chống lại các máy chủ nội bộ được phân tích từ tệp /etc/hosts.
Mã độc và Tống tiền
Sau khi xác thực thành công, kẻ tấn công đã thả một tệp đánh dấu với nội dung “README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT” vào các thư mục WebLogic và Process Scheduler. Tệp này được sử dụng để xác nhận hành vi chiếm quyền điều khiển và yêu cầu tiền chuộc.
Dữ liệu bị đánh cắp được nén bằng công cụ zstd trước khi kẻ tấn công thiết lập kết nối SSH ra ngoài đến địa chỉ 176.120.22.24. Đây là địa chỉ IP lưu trữ bản sao công khai của Trang Rò rỉ Dữ liệu (DLS) của ShinyHunters. Các kho lưu trữ dữ liệu bị đánh cắp đã được công bố trên DLS vào ngày 9 tháng 6 năm 2026.
Khuyến nghị bảo mật
Các tổ chức được khuyến cáo khẩn trương áp dụng bản vá khẩn cấp của Oracle cho CVE-2026-35273. Bên cạnh đó, việc duy trì các phiên bản PeopleSoft đang được hỗ trợ tích cực và áp dụng đầy đủ các bản cập nhật vá lỗi quan trọng (Critical Patch Updates) là vô cùng cần thiết để bảo vệ hệ thống khỏi các mối đe dọa mạng tương tự.
Việc chủ động theo dõi các tin tức bảo mật mới nhất và đánh giá các lỗ hổng CVE có thể ảnh hưởng đến hệ thống là bước quan trọng trong chiến lược an ninh mạng toàn diện. Việc phát hiện sớm các hoạt động bất thường và áp dụng các biện pháp phòng ngừa kịp thời sẽ giúp giảm thiểu tối đa rủi ro bị xâm nhập trái phép và thất thoát dữ liệu.
Để đảm bảo an toàn thông tin, các chuyên gia IT cần thường xuyên kiểm tra và cập nhật các bản vá bảo mật cho các ứng dụng và hệ thống, đặc biệt là các hệ thống có chứa dữ liệu nhạy cảm. Việc triển khai các giải pháp giám sát an ninh mạng và hệ thống phát hiện xâm nhập (IDS/IPS) cũng đóng vai trò quan trọng trong việc phát hiện và ngăn chặn các cuộc tấn công mạng.
