“Ενώ αρκετοί οργανισμοί έχουν μπλοκάρει με επιτυχία τη δραστηριότητα ή έχουν διορθώσει την ευπάθεια, άλλοι έχουν παραβιαστεί, με αποτέλεσμα τα κλεμμένα δεδομένα να δημοσιεύονται στο ShinyHunters DLS”, είπε ο Mandient. (Το DLS είναι συντομογραφία για το Data Leak Site.)
Η ανάλυση ενός σεναρίου bash που έμεινε στο περιβάλλον σταδίου έδειξε ότι οι επιτιθέμενοι πραγματοποίησαν αναγνώριση σε παραβιασμένες οντότητες, συμπεριλαμβανομένης της αντιστοίχισης της διαμόρφωσης PeopleSoft, του προγραμματιστή διεργασιών και της διαμόρφωσης XML του διακομιστή WebLogic. Τέλος, οι φορείς απειλών δημιουργούν μια εξερχόμενη σύνδεση SSH στο 176.120.22.24, τη διεύθυνση IP που φιλοξενεί το DLS του ShinyHunters. Τα κλεμμένα δεδομένα συμπιέστηκαν αρχικά χρησιμοποιώντας το εργαλείο zstd. Η DLS ισχυρίζεται ότι έχει ανακτήσει 48 GB δεδομένων από ένα μόνο θύμα.
Ένα μερικώς αναθεωρημένο τμήμα του DLS του ShinyHunters.
Πίστωση: Mandiant
Η ShinyHunters δραστηριοποιείται τουλάχιστον από το 2019. Τα τελευταία αρκετά χρόνια, έχει χακάρει αποτελέσματα σε ορισμένες από τις μεγαλύτερες εταιρείες του κόσμου, επηρεάζοντας εκατομμύρια ανθρώπους. Ένα μικρό δείγμα θυμάτων περιελάμβανε την Ticketmaster (μέσω της παραβίασης του Snowflake, η οποία φιλοξένησε τα δεδομένα), τη μεγαλύτερη τράπεζα της Ισπανίας, τη Santander και τη Salesforce (και μέσω αυτής, την Google και τάχαπολλές άλλες εταιρείες). Το ShinyHunters χρησιμοποιεί μια ποικιλία τεχνικών για να αποκτήσει αρχική πρόσβαση, συμπεριλαμβανομένης της εσφαλμένης διαμόρφωσης του cloud και της εκμετάλλευσης τρωτών σημείων λογισμικού, της κλοπής διακριτικών OAuth, των επιθέσεων στην αλυσίδα εφοδιασμού, του φωνητικού ψαρέματος και άλλων μορφών κοινωνικής μηχανικής.
Mandiant και Γρήγορα 7 Παροχή λεπτομερών δεικτών συμβιβασμού. Συμβουλεύουν τους πελάτες της PeopleSoft σχετικά με τα βήματα που πρέπει να λάβουν αμέσως. Δεδομένου του ποσοστού επιτυχίας του ShinyHunters, όλοι οι χρήστες της PeopleSoft θα έκαναν καλά να λάβουν υπόψη τις εκκλήσεις.
