Mandiant表示：“虽然有几家组织成功阻止了这一活动或修复了漏洞，但其他组织却遭到了攻击，导致窃取的数据在ShinyHunters DLS网站上发布。”（DLS是数据泄露网站的缩写。）对留在预备环境中的bash脚本的分析显示，攻击者对受到攻击的组织进行了侦察，包括映射PeopleSoft配置、查看进程调度程序和WebLogic服务器的XML配置。最终，威胁行为者与176.120.22.24建立了出站SSH连接，该IP地址托管了ShinyHunters的DLS。被窃取的数据最初使用zstd工具进行了压缩。DLS声称从单一受害者那里恢复了48GB的数据。ShinyHunters DLS的部分已编辑区域。图片来源：Mandiant ShinyHunters自2019年以来一直活跃。在过去的几年中，它对世界上一些最大的公司进行了数十次黑客攻击，影响了数百万人的后续利益。受害者的一个小样本包括Ticketmaster（通过对承载数据的Snowflake的入侵）、西班牙最大的银行Santander和Salesforce（通过它，谷歌以及据报道的其他许多公司）。ShinyHunters使用多种技术获得初始访问权限，包括利用云配置错误和软件漏洞、窃取OAuth令牌、供应链攻击、语音钓鱼和其他形式的社会工程。Mandiant和Rapid7提供详细的妥协指标。他们还建议PeopleSoft客户立即采取的步骤。鉴于ShinyHunters的成功率，所有PeopleSoft用户都应当重视这些建议。