---

BẢN TIN AN NINH MẠNG | Nhóm tin tặc ShinyHunters vừa thực hiện một chiến dịch tấn công mạng quy mô lớn, khai thác một lỗ hổng zero-day chưa được vá trong phần mềm quản trị doanh nghiệp Oracle PeopleSoft. Mục tiêu bị ảnh hưởng lớn trong chiến dịch lần này là khối các trường đại học và học viện.

Theo báo cáo từ đơn vị phân tích mối đe dọa Mandiant (thuộc Google), chiến dịch này được thực hiện bởi nhóm tin tặc được định danh là UNC6240, diễn ra từ ngày 27 tháng 5 đến ngày 9 tháng 6. Oracle đã phát hành bản hướng dẫn vá lỗi vào ngày 10 tháng 6, xác nhận các cuộc tấn công trước đó hoàn toàn sử dụng lỗ hổng zero-day.

Thông tin về lỗ hổng CVE-2026-35273

Lỗ hổng zero-day lần này được định danh là CVE-2026-35273, có điểm số nghiêm trọng 9.8/10 (Critical). Đây là một lỗi thực thi mã từ xa (RCE) nằm trong thành phần Updates Environment Management, thuộc nền tảng PeopleSoft Enterprise PeopleTools (gồm các phiên bản 8.61 và 8.62; các phiên bản cũ hơn không còn được hỗ trợ cũng có nguy cơ bị ảnh hưởng).

Lỗ hổng này cho phép kẻ tấn công thực hiện hành vi mà không cần thông tin đăng nhập và không cần sự tương tác nào từ người dùng. Chỉ cần hệ thống PeopleSoft mở kết nối cổng thông tin quản lý môi trường (Environment Management Hub – PSEMHUB) ra Internet qua giao thức HTTP, tin tặc có thể chiếm quyền kiểm soát máy chủ. Lỗ hổng ban đầu được phát hiện và báo cáo bởi các nhà nghiên cứu thuộc TrendAI Zero Day Initiative và TrendAI Research.

Phương thức tấn công và dấu vết chiến dịch

Chiến dịch bị phát hiện khi các nhà nghiên cứu bảo mật ghi nhận nhóm tin tặc để lộ cấu hình thiết bị trên Internet. Nhà nghiên cứu @nahamike01 đã tìm thấy các thư mục mở (open directories) của nhóm này. Ngay sau đó, Mandiant đã tiến hành điều tra và xác định được 5 địa chỉ IP liên tiếp chạy máy chủ Python SimpleHTTP trên cổng 8888 được nhóm này dùng để lưu trữ công cụ tấn công.

Qua phân tích lịch sử lệnh hệ thống (.bash_history), quy trình tấn công của ShinyHunters bao gồm:

1. Cài đặt mã độc: Triển khai các tác nhân quản lý từ xa (MeshCentral agents) được ngụy trang dưới dạng các tệp nhị phân hệ thống của Microsoft Azure nhằm tránh các giải pháp bảo mật EDR. Các tác nhân này kết nối về máy chủ điều khiển (C2) qua tên miền azurenetfiles.net.
2. Dịch chuyển ngang (Lateral Movement): Sử dụng một tập lệnh có tên [tên_nạn_nhân]_fanout.sh. Tập lệnh này tự động quét danh sách tài khoản và mật khẩu được mã hóa cứng đối chiếu với file /etc/hosts nội bộ để lây lan qua giao thức SSH sang các máy chủ khác.
3. Để lại thông điệp: Một tệp tin có tên README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT được thả vào các thư mục gốc của PeopleSoft.
4. Đánh cắp dữ liệu: Dữ liệu thu thập được nén bằng công cụ zstd và chuyển qua cổng SSH về máy chủ lưu trữ của trang web rò rỉ dữ liệu (leak site) thuộc ShinyHunters.

Tác động đến khối giáo dục

Mandiant xác nhận đã gửi cảnh báo đến hơn 100 tổ chức có địa chỉ IP trùng khớp với các điểm cuối chứa lỗ hổng. Trong số đó, 68% nạn nhân thuộc lĩnh vực giáo dục đại học, phần lớn tập trung tại Mỹ.

Trường Đại học Nottingham (University of Nottingham) đã xác nhận việc bị ảnh hưởng hệ thống. Hệ thống giám sát Have I Been Pwned ghi nhận đã có khoảng 455.000 địa chỉ email duy nhất liên quan đến sinh viên và cựu sinh viên của trường bị rò rỉ. Các dữ liệu bao gồm: họ tên, địa chỉ, số điện thoại, số hộ chiếu, cùng các thông tin chi tiết về sắc tộc và tình trạng khuyết tật.

Trước chiến dịch này, ShinyHunters thường tập trung vào các phương thức tấn công phi kỹ thuật (social engineering/vishing) hoặc đánh cắp token để tấn công vào các nền tảng SaaS (như vụ việc liên quan đến hệ thống Canvas của Instructure hồi tháng 5). Việc chuyển hướng sang khai thác lỗ hổng zero-day trên các phần mềm ERP tự vận hành (on-premises) cho thấy nhóm này đang thay đổi kỹ thuật nhằm tiếp cận các kho dữ liệu của các tổ chức.

Khuyến nghị giảm thiểu rủi ro từ Oracle

Để ngăn chặn nguy cơ bị xâm nhập, Oracle khuyến nghị các quản trị viên hệ thống thực hiện ngay các biện pháp khắc phục tạm thời (workarounds) sau:

• Đối với mô hình Multi-server (Nhiều máy chủ): Vô hiệu hóa dịch vụ Environment Management Hub.
• Đối với mô hình Single-server (Một máy chủ): Gỡ bỏ ứng dụng PSEMHUB.
• Cấu hình tường lửa: Nếu không thể thực hiện hai biện pháp trên, hãy cấu hình chặn truy cập từ Internet vào các đường dẫn: /PSEMHUB/* (đặc biệt là /PSEMHUB/hub) và /PSIGW/HttpListeningConnector.
• Giám sát lưu lượng mạng: Chặn lưu lượng SMB hướng ra ngoài (Outbound) trên cổng 445 từ các máy chủ PeopleSoft để tránh nguy cơ bị đánh cắp chuỗi mã băm NetNTLM của tài khoản máy.
• Cập nhật phần mềm: Người dùng được khuyến cáo truy cập cổng hỗ trợ My Oracle Support để tải và áp dụng bản vá lỗi chính thức cho phiên bản PeopleTools đang sử dụng.