ShinyHunters, 오라클 PeopleSoft 제로데이(CVE‑2026‑35273) 악용해 대학을 침해.
출처: The Hacker News
Swati KhandelwalJun 11, 2026 취약점 / 데이터 유출
ShinyHunters extortion 조직은 Oracle PeopleSoft의 패치되지 않은 결함을 이용해 기업 시스템에 침투하고 데이터를 탈취한 뒤, 비공개를 유지하도록 금전을 요구했습니다. 이번 캠페인은 특히 대학들을 강타했습니다.
Google의 Mandiant는 이를 UNC6240이라고 추적되는 그룹에 귀속시키며, 활동 기간을 5월 27일부터 6월 9일까지로 추정했습니다. Oracle은 6월 10일까지 해당 취약점에 대한 권고문을 공개하지 않았으므로, 이 버그는 전 기간 동안 제로데이 상태였습니다.
해당 결함, CVE‑2026‑35273(https://www.oracle.com/security-alerts/alert-cve-2026-35273.html), 은 PeopleSoft Enterprise PeopleTools에 존재하는 원격 코드 실행 취약점으로, CVSS 점수는 10점 만점에 9.8점입니다. 로그인이나 사용자 상호작용이 전혀 필요 없으며, HTTP를 통한 네트워크 접근만으로 서버를 장악할 수 있습니다. 만약 외부에서 접근 가능한 Environment Management Hub가 활성화된 상태라면, 바로 그 부분이 노출된 것이며, 가장 먼저 해야 할 일은 해당 엔드포인트를 차단하는 것입니다.
취약점은 Environment Management Hub(PSEMHUB) 뒤에 있는 Updates Environment Management 구성 요소에 존재합니다. Oracle은 PeopleTools 8.61 및 8.62 버전이 영향을 받는다고 명시했으며, 이전 버전(지원 종료된 버전)도 취약할 가능성이 높다고 밝혔습니다. 이 보고서는 TrendAI Zero Day Initiative와 TrendAI Research의 연구원들에게 귀속됩니다.
Mandiant CTO인 Charles Carmakal은 이 버그가 실제로 악용되고 있음을 확인했습니다(https://www.linkedin.com/posts/charlescarmakal_urgent-multiple-0-day-vulnerabilities-share-7470696836803117057-mf6m/). Oracle은 악용 여부에 대해 공식 입장을 밝히지 않았으며, 권고문에는 지원 로그인 뒤에 있는 패치 가용성 문서가 링크돼 있지만, 전체 조직에 배포 가능한 완전한 패치인지 여부는 명확하지 않습니다. 현재 권고사항은 주로 완화 조치에 초점을 맞추고 있습니다.
공격자들이 자체 장비를 남겨두면서 운영 세부 사항이 공개되었습니다. 연구원 @nahamike01(https://x.com/nahamike01/status/2064529246178210220)이 공개 디렉터리를 지적했으며, Mandiant는 포트 8888에서 Python SimpleHTTP 서버를 실행 중인 5개의 연속 IP 주소를 조사했습니다. 이 서버들은 다음과 같은 스테이징 파일들을 노출했습니다: 공유된 .bash_history, Microsoft Azure 바이너리로 위장된 맞춤형 MeshCentral 원격 관리 에이전트, 그리고 횡 이동 스크립트.
에이전트들은 azurenetfiles.net이라는 도메인(Azure NetApp Files와 유사하게 보이도록 설계)으로 C2 서버에 연결했습니다. 스크립트는 [victim]_fanout.sh라는 이름으로, /etc/hosts에 정의된 내부 호스트 목록을 대상으로 하드코딩된 사용자명·비밀번호 조합을 SSH를 통해 무차별 대입하고, 성공하면 PeopleSoft 디렉터리에 README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT라는 마커 파일을 남깁니다. 명령 기록에는 데이터가 zstd로 압축되고, ShinyHunters 유출 사이트의 공개 미러를 호스팅하는 서버로 SSH 연결이 이루어진 흔적이 있습니다.
Mandiant는 취약 엔드포인트와 IP가 일치하는 100개 이상의 조직에 알림을 보냈습니다. 그 중 68%가 고등 교육 기관이며, 대부분 미국에 위치했습니다. 일부 기관은 활동을 차단했지만, 다른 기관은 침해당해 데이터가 유출 사이트에 게시되었습니다.
노팅엄 대학교는 최초로 확인된 피해 기관 중 하나입니다. Have I Been Pwned(https://haveibeenpwned.com/Breach/UniversityOfNottingham)에 따르면, 유출된 데이터에는 약 455,000개의 고유 이메일 주소와 현재 재학생·동문 정보, 이름·주소·전화번호·여권 번호·인종·장애 여부 등이 포함되어 있습니다. 대학 측은 침해 사실을 공식 확인했습니다.
Oracle의 권고사항은 다중 서버 환경에서는 Environment Management Hub 서비스를 비활성화하고, 단일 서버 환경에서는 PSEMHUB 애플리케이션을 완전히 제거하라는 것입니다. 두 가지 중 하나를 수행할 수 없을 경우, 외부에서 /PSEMHUB/*(특히 /PSEMHUB/hub)와 /PSIGW/HttpListeningConnector에 대한 접근을 차단하고, 이를 방화벽 경계에서 차단해야 합니다.
Mandiant는 WAF의 바디 인스펙션 규칙만으로는 충분하지 않으며, 우회가 가능하다고 경고합니다. 해당 엔드포인트를 제한해도 정상 사용자 세션에는 영향을 주지 않습니다.
그 다음은 기존 침해 흔적을 찾는 것입니다:
/PSEMHUB/hub또는/PSIGW/HttpListeningConnector에 대한 외부 POST 요청이 기록된 WebLogic 접근 로그- PSEMHUB.war 웹 애플리케이션 디렉터리 아래에 예상치 못한
.jsp파일이나logs,persistantstorage,scratchpad와 같은 이상한 폴더 - 웹 문서 루트의
envmetadata/data/environment아래 최근에 변경된.xml파일(다음 재시작 시 XMLDecoder 영속성을 이용해 악용될 수 있음) - PeopleSoft 호스트에서 외부 대상으로 향하는 포트 445 SMB 트래픽(악성 체인이 머신 계정 NetNTLM 해시를 수집하는 데 사용될 수 있음)
My Oracle Support에서 해당 PeopleTools 버전에 대한 업데이트가 제공되는지 확인한 뒤, Oracle 업데이트를 적용하십시오.
ShinyHunters는 아직 피해자에게 연락을 시작한 단계이며, 주장하는 대부분의 조직을 아직 공개하지 않았으므로 추가 피해 기관이 더 있을 가능성이 높습니다.
이 사건이 보여주는 핵심은 공격 방식입니다. ShinyHunters는 최근 vishing, 탈취된 토큰, 약한 접근 제어 등을 이용해 SaaS와 교육 플랫폼에서 데이터를 탈취해 왔으며, 예를 들어 Salesforce 고객이나