“Si bien algunas organizaciones lograron bloquear la actividad o corregir las vulnerabilidades, otras experimentaron compromisos, lo que resultó en la publicación de datos robados en DLS ShinyHunters”, dijo Mandiant. (DLS es la abreviatura de sitio de fuga de datos).
El análisis de los scripts bash que quedaron en el entorno de prueba mostró que el atacante realizó un reconocimiento de la organización comprometida, incluido el mapeo de configuraciones de PeopleSoft, la visualización de programadores de procesos y las configuraciones XML del servidor WebLogic. Finalmente, el actor de amenazas realizó una conexión SSH saliente a 176.120.22.24, la dirección IP que alberga DLS ShinyHunters. Los datos robados primero se comprimen utilizando la herramienta zstd. DLS afirma haber recuperado 48 GB de datos de una víctima.
Parte parcialmente editada de DLS ShinyHunters.
Crédito: Mandiant
ShinyHunters ha estado activo desde al menos 2019. En los últimos años, ShinyHunters ha llevado a cabo una serie de ataques contra algunas de las empresas más grandes del mundo, lo que ha afectado a millones de personas. Una pequeña muestra de víctimas incluye Ticketmaster (a través de una filtración de Snowflake, que aloja los datos), el banco más grande de España, Santander, y Salesforce (y, a través de la filtración, Google y, reportadomuchas otras empresas). ShinyHunters utiliza una variedad de técnicas para obtener acceso inicial, incluida la explotación de configuraciones erróneas de la nube y vulnerabilidades de software, el robo de tokens OAuth, ataques a la cadena de suministro, phishing de voz y otras formas de ingeniería social.
mandante y Rápido7 proporciona indicadores detallados de compromiso. También asesoran a los clientes de PeopleSoft sobre los pasos que deben seguir de inmediato. Dada la tasa de éxito de ShinyHunters, todos los usuarios de PeopleSoft harían bien en prestar atención al llamado.
