تواجه المؤسسات التي تعتمد على منصة Oracle PeopleSoft موجة من هجمات سرقة البيانات المنسوبة إلى مجموعة الابتزاز السيبراني ShinyHunters. ويسلط هذا التطور الضوء على المخاطر الكبيرة الناتجة عن إتاحة أنظمة تخطيط موارد المؤسسات (ERP) وإدارة الموارد البشرية مباشرة عبر الإنترنت، لا سيما وأنها تضم بيانات حساسة للموظفين والطلاب، بالإضافة إلى السجلات المالية والتشغيلية.
تستهدف هذه الحملة بيئات PeopleSoft سواء المستضافة سحابياً أو محلياً لدى عملاء Oracle، حيث تلقى بعض الضحايا بالفعل رسائل ابتزاز تحمل توقيع المجموعة. وصرحت ShinyHunters بأنها تمكنت من سرقة بيانات من نحو 300 نسخة تشغيلية عبر أكثر من 100 مؤسسة؛ وهي مزاعم تظل في إطار ادعاءات الجهة المنفذة ما لم تؤكدها Oracle أو الجهات المتضررة بصفة رسمية.
وتشير المعلومات الفنية المتاحة إلى أن المهاجمين يعتمدون على سلسلة استغلال تجمع بين ثغرات قديمة وأخرى من نوع “يوم الصفر”. ومع ذلك، يظهر أن نجاح الهجوم غير موحد عبر جميع البيئات، إذ يرتبط الأمر بطبيعة وإعدادات التهيئة الخاصة بكل نسخة من نسخ PeopleSoft. وحتى وقت نشر التقرير، لم تصدر Oracle أي رد رسمي يؤكد أو ينفي وجود ثغرة يوم صفر يجري استغلالها في هذه الحملة.
وتعد PeopleSoft منصة برمجية للمؤسسات تستخدمها جهات كبرى لإدارة مجالات حيوية مثل الموارد البشرية، والرواتب، والشؤون المالية، والمشتريات، وسلاسل الإمداد، وإدارة شؤون الطلاب. بناء على ذلك، فإن أي اختراق ناجح لهذه البيئات يمنح المهاجمين القدرة على الوصول إلى بيانات داخلية ذات قيمة تشغيلية عالية، ويسهل عمليات الابتزاز المالي، أو حملات التصيد الموجه، أو شن هجمات لاحقة تستهدف الموظفين والشركاء.
وأفاد التقرير، بناء على ادعاءات المهاجمين، بأن قطاع التعليم يقع في مقدمة القطاعات الأكثر تضرراً؛ حيث أُشير إلى جامعة Nottingham كإحدى الجهات المستهدفة، بالتزامن مع إعلان الجامعة عن تعرضها لحادث أمن سيبراني. ورغم ذلك، فإن الربط القاطع بين هذا الحادث والبيانات التي تزعم ShinyHunters حيازتها يتطلب تأكيداً مستقلاً من الجامعة أو إعلاناً لنتائج التحقيق الفني.
وفي السياق ذاته، نشر باحث أمني يرمز لنفسه باسم Michael R مؤشرات اختراق مرتبطة بالحملة، بعد رصده أدلة على خوادم مكشوفة تحتوي على أدوات استهداف ومواد تشغيلية. وشملت هذه المؤشرات عدة عناوين IP، إلى جانب خوادم تستخدم شهادة TLS مسجلة باسم نطاق ارتبط سابقاً بأنشطة مجموعة ShinyHunters.
وكشفت المواد الفنية التي رصدها الباحث عن ملفات وأوامر برمجية توضح محاولات المهاجمين لزرع رسائل الابتزاز داخل خوادم PeopleSoft المخترقة. وتُظهر التفاصيل أن أحد السكربتات البرمجية يسعى لقراءة ملف hosts الداخلي لتحديد الأنظمة المرتبطة بمنصة PeopleSoft، ومن ثم محاولة الاتصال بها عبر بروتوكول SSH باستخدام حسابات إدارية افتراضية وشائعة مثل psoft وoracle وlinuxadm، مع الاعتماد على مفاتيح SSH كبديل في حال فشل كلمات المرور.
وتوضح هذه الآلية مساراً عملياً للمخاطر يتجاوز مرحلة الاستغلال الأولي للثغرات إلى التحرك الجانبي داخل الشبكة، والبحث عن الحسابات الإدارية وأدلة التطبيقات لزرع ملفات الابتزاز. وبناءً عليه، تتضمن خطوات الاستجابة الأولية الضرورية للمؤسسات المشغلة للنظام: فحص سجلات الاتصال لمطابقتها مع مؤشرات الاختراق المنشورة، ومراجعة صلاحيات الحسابات الإدارية ومفاتيح SSH، فضلاً عن عزل الخوادم المكشوفة مؤقتاً عند الاشتباه في أي نشاط مريب.
وتأتي هذه الحملة امتداداً للأنشطة المتكررة لمجموعة ShinyHunters في مجالات سرقة البيانات والابتزاز، مع تركيزها الواضح على المنصات المؤسسية والسحابية التي تحوي بيانات عالية القيمة. ومع ذلك، فإن التعامل مع البيانات الصادرة عن مجموعات الابتزاز يتطلب دقة وحذراً من الناحيتين التحريرية والفنية، نظراً لاحتمالية تضخيم الأرقام أو تقديم معلومات غير مكتملة عن الحوادث قبل انتهاء التحقيقات الرسمية.
