文章总结： Mandiant与谷歌威胁情报团队监测到黑客组织ShinyHunters在2026年5月27日至6月9日利用OraclePeopleSoft环境管理组件的零日漏洞CVE-2026-35273（CVSS9.8分）发起攻击，主要针对美国高校。攻击者通过未授权访问接口完全接管服务器，部署伪装成Azure服务的MeshCentral代理进行横向移动和数据窃取。建议机构立即隔离资产，关闭环境管理中心服务或阻断/psemhub/*等敏感接口访问，并开展威胁狩猎排查。 综合评分： 88 文章分类： 漏洞分析,威胁情报,恶意软件,应急响应,安全运营

黑客组织 ShinyHunters 持续发起攻击，利用 Oracle PeopleSoft 远程代码执行零日漏洞实施入侵

鹏鹏同学 鹏鹏同学

黑猫安全

2026年6月13日 09:17 湖北

在小说阅读器读本章

去阅读

Mandiant 与谷歌威胁情报团队（GTIG）于 6 月 11 日发布针对 ShinyHunters 团伙活跃攻击行动的分析报告，而就在前一日，甲骨文才针对本次被利用的漏洞发布官方安全公告。这一时间差影响重大：攻击活动从 5 月 27 日持续至 6 月 9 日，意味着这两周内所有遭攻陷的机构都遭遇零日漏洞攻击 —— 彼时该漏洞尚无可用补丁，厂商也未发布任何官方预警。Mandiant 通知的百余家受害机构中，68% 为各类高等院校，绝大多数位于美国。

该漏洞编号 CVE-2026-35273（CVSS 评分 9.8 分），是 Oracle PeopleSoft 环境管理组件中的远程代码执行漏洞，满分风险评级为 10 分。利用该漏洞无需身份验证、无需用户交互；攻击者仅需网络可达环境管理中心（Environment Management Hub）接口，即可完全接管服务器。

谷歌发布的报告原文写道：“Mandiant 与谷歌威胁情报团队（GTIG）监测到归属于 UNC6240（ShinyHunters）的入侵勒索攻击活动，目标为 Oracle PeopleSoft 应用基础设施。攻击观测时段为 2026 年 5 月 27 日至 2026 年 6 月 9 日，攻击者利用 CVE-2026-35273 实施入侵，这是环境管理组件内高危远程代码执行漏洞，CVSS 评分 9.8。所有漏洞利用行为均针对环境管理中心（PSEMHUB）接口发起。由于攻击早于甲骨文 2026 年 6 月 10 日发布安全公告，该漏洞是以零日漏洞形式被滥用。”

已确认受影响的 PeopleTools 版本为 8.61、8.62；甲骨文表示已停止维护的早期版本大概率同样存在该漏洞。

攻击者搭建的跳板基础设施完全暴露在外，Mandiant 才得以完整摸清整套攻击流程。安全研究员 @nahamike01 公开披露五段连续 IP 存在未授权开放目录，全部通过 Python 内置 HTTP 服务监听 8888 端口。Mandiant 对五台主机逐一研判，发现所有设备内存在内容完全一致的.bash_history 命令历史文件，文件附带完整时间戳，详细记录了全部攻击操作。讽刺的是，这群能借助零日漏洞对高校发起复杂攻击的攻击者，连跳板文件服务器都未设置访问密码。

报告记载：“跳板服务器存放预配置 Windows MeshCentral 代理程序，伪装成微软 Azure 服务，文件分别为 meshagent32-azure-ops.exe、meshagent64-azure-ops.exe、meshagent64-v2.exe。静态分析结果显示，这些代理程序内置硬编码地址，会主动连接命令控制（C2）服务器 wss://azurenetfiles.net:443/agent.ashx。”

攻击者选用的域名刻意仿冒微软 Azure NetApp Files 云存储服务。MeshCentral 是合法开源远程运维工具，其通信流量会混杂在常规运维流量中，难以触发明显安全告警。

命令历史完整还原了攻击时序：世界协调时 5 月 27 日 22:14，攻击者安装 1.1.59 版本 MeshCentral；11 分钟后部署 acme 客户端，自动为azurenetfiles.net申请 Let’s Encrypt 可信 SSL 证书，为 C2 服务器配置合法证书。随后攻击者调用 MeshCentral 命令行工具 meshctrl.js，在沦陷终端批量执行指令：读取 Oracle PeopleSoft 配置、解析调度服务配置文件、提取内网主机清单、核查 WebLogic XML 配置，以此挖掘受害内网更多攻击目标。

攻击者依靠脚本完成内网横向移动，脚本文件名为 [受害机构缩写]_fanout.sh，直接上传至沦陷主机 /tmp 目录，通过 MeshCentral 远程执行。脚本读取 /etc/hosts 获取内网全部 PeopleSoft 节点主机名，再使用内置账号密码列表对各节点发起 SSH 暴力破解。一旦登录成功，攻击者会将勒索标记文件 README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT 复制到 WebLogic 与调度服务目录，既作为勒索凭证，也方便攻击者远程验证渗透与扩散成效。

窃取的数据经 zstd 压缩后向外传输，随后建立出站 SSH 连接至 176.120.22.24，该 IP 承载 ShinyHunters 数据泄露公示站的公开镜像站点。

诺丁汉大学是首批确认受害单位之一。数据泄露查询平台 Have I Been Pwned 已收录本次泄露约 45.5 万条独立邮箱，覆盖在校生与往届校友，泄露数据包含姓名、住址、手机号、护照号，以及种族、残疾相关档案。ShinyHunters 团伙称目前仅刚启动受害机构公示，绝大多数被攻陷企业的泄露数据尚未对外公开。

当前所有部署 Oracle PeopleSoft 的机构首要处置动作是资产隔离。甲骨文给出防护建议：多服务器集群环境下，彻底关闭环境管理中心服务；单服务器环境直接卸载 PSEMHUB 应用。若上述操作无法落地，需在网络边界拦截外部对 / PSEMHUB/* 与 / PSIGW/HttpListeningConnector 路径的访问。

报告结尾总结：“接口访问限制措施：若无法关停环境管理中心服务，须在网络边界或防火墙层面，立即阻断外网访问敏感接口 / PSEMHUB/*（核心路径 / PSEMHUB/hub）、/PSIGW/HttpListeningConnector。仅依靠 Web 应用防火墙（WAF）报文检测规则防护力度不足，此类防御机制存在被绕过的风险。”

限制上述接口访问不会影响普通用户业务会话：环境管理中心与集成代理监听连接器均为后台管理组件，不面向终端普通用户。完成访问阻断后需开展威胁狩猎排查工作：

1. 检索 WebLogic 访问日志，筛查外网针对上述路径发起的 POST 请求；
2. 扫描 PSEMHUB.war 目录，排查异常 JSP 文件；
3. 检查 PSEMHUB 相关路径下是否存在 logs、persistantstorage、scratchpad 等可疑目录；
4. 监控 PeopleSoft 主机向外网发起的 445 端口 SMB 出站流量。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全 鹏鹏同学 鹏鹏同学《黑客组织 ShinyHunters 持续发起攻击，利用 Oracle PeopleSoft 远程代码执行零日漏洞实施入侵》