يؤثر برنامج PeopleSoft 0-day على مئات المؤسسات ويسرق غيغابايت من البيانات
وقال مانديانت: “بينما نجحت العديد من المنظمات في حظر النشاط أو معالجة نقاط الضعف، واجهت منظمات أخرى اختراقًا، مما أدى إلى نشر البيانات المسروقة على ShinyHunters DLS”. (DLS هو اختصار لموقع تسرب البيانات.) يُظهر تحليل البرنامج النصي bash المتبقي في البيئة المرحلية أن المهاجمين أجروا استطلاعًا على المؤسسات المخترقة، بما في ذلك تعيين تكوينات PeopleSoft، وعرض جدولة العمليات، وتكوينات XML لخادم WebLogic. في نهاية المطاف، أنشأت الجهات الفاعلة التهديد اتصال SSH خارجيًا بالرقم 176.120.22.24، وهو عنوان IP الذي يستضيف خدمة DLS الخاصة بـ ShinyHunters. تم ضغط البيانات المسروقة أولاً باستخدام أداة zstd. زعمت DLS أنها استعادت 48 جيجابايت من البيانات من ضحية واحدة. قسم منقح جزئيًا من DLS لـ ShinyHunters. الائتمان: Mandiant قسم منقح جزئيًا من DLS لـ ShinyHunters. الائتمان: Mandiant ShinyHunters نشط منذ عام 2019 على الأقل. وعلى مدى السنوات العديدة الماضية، نفذت عشرات من عمليات الاختراق ضد بعض أكبر الشركات في العالم، مما أثر على ملايين الأشخاص في اتجاه مجرى النهر. وتشمل عينة صغيرة من الضحايا شركة Ticketmaster (من خلال اختراق Snowflake، الذي استضاف البيانات)، وأكبر بنك في إسبانيا، Santander، وSalesforce (ومن خلالها جوجل، والعديد من الشركات الأخرى). يستخدم ShinyHunters تقنيات مختلفة للوصول الأولي، بما في ذلك استغلال التكوينات السحابية الخاطئة ونقاط ضعف البرامج، وسرقة رموز OAuth، وهجمات سلسلة التوريد، والتصيد الاحتيالي الصوتي، وأشكال أخرى من الهندسة الاجتماعية. يقدم كل من Mandiant وRapid7 مؤشرات مفصلة عن التسوية. كما يقومون أيضًا بتقديم المشورة لعملاء PeopleSoft بشأن الخطوات التي يجب عليهم اتخاذها على الفور. ونظرًا لمعدل نجاح ShinyHunters، فمن الأفضل لجميع مستخدمي PeopleSoft أن يستجيبوا للمكالمات.
تم النشر: 2026-06-12 20:26:00
مصدر: arstechnica.com
