Veille semi-automatisĂ©e en cybersĂ©curitĂ© : articles synthĂ©tisĂ©s et traduits automatiquement Ă partir de sources fiables â triĂ©s par catĂ©gorie.
đŹ Discussions, commentaires et publications issues de la veille disponibles sur la communautĂ© Lemmy : infosec.pub/c/cyberveille
BlueVoyant rapporte, via son SOC, la dĂ©couverte dâun nouveau backdoor (A0Backdoor) utilisĂ© dans des opĂ©rations dâusurpation Microsoft Teams et dâabus de Quick Assist, actives au moins dâaoĂ»t 2025 Ă fin fĂ©vrier 2026. Le cĆur de lâĂ©volution est un canal C2 DNS basĂ© sur des enregistrements MX. Le malware gĂ©nĂšre des sous-domaines Ă forte entropie par requĂȘte (portant des mĂ©tadonnĂ©es de beacon), envoie des requĂȘtes MX, puis dĂ©code la gauche du label âexchangeâ retournĂ© par lâautoritĂ© DNS, oĂč sont encodĂ©es les commandes/configurations via un alphabet alphanumĂ©rique sĂ»r pour les domaines. Lâusage de MX vise Ă se fondre dans le trafic lĂ©gitime et Ă Ă©viter les contrĂŽles focalisĂ©s sur le tunnel DNS TXT. Les endpoints ne contactent que des resolveurs publics de confiance (ex. 1.1.1.1, 8.8.8.8), les rĂ©ponses Ă©tant servies par des zones autoritatives contrĂŽlĂ©es par lâattaquant (self-hosted ns1/ns2 ou Cloudflare) đŻ. ...
Source et contexte: ANSSI â Le « Panorama de la cybermenace 2025 » (publication ANSSI) prĂ©sente les tendances observĂ©es en France et en Europe : menaces persistantes, brouillage entre acteurs Ă©tatiques et cybercriminels, et forte pression sur secteurs publics et privĂ©s. Niveau de menace et secteurs touchĂ©s. En 2025, 3âŻ586 Ă©vĂ©nements de sĂ©curitĂ© traitĂ©s (â18% vs 2024) dont 1âŻ366 incidents (stable). Quatre secteurs concentrent 76% des incidents: Ă©ducation & recherche (34%), ministĂšres & collectivitĂ©s (24%), santĂ© (10%), tĂ©lĂ©coms (9%). Les frontiĂšres entre acteurs Ă©tatiques et cybercriminels sâĂ©rodent, complexifiant lâimputation et la dĂ©tection. ...
Selon BleepingComputer, le Centre national de recherche nuclĂ©aire de Pologne (NCBJ) đ”đ± a indiquĂ© quâune attaque informatique visant son infrastructure IT a Ă©tĂ© dĂ©tectĂ©e et bloquĂ©e avant de causer le moindre impact. Pologne : le Centre national de recherche nuclĂ©aire (NCBJ) visĂ© par une cyberattaque, sans impact opĂ©rationnel RĂ©sumĂ© Le Centre national polonais de recherche nuclĂ©aire (NCBJ) a annoncĂ© avoir dĂ©tectĂ© et bloquĂ© une cyberattaque visant son infrastructure IT avant toute compromission effective. Lâinstitut indique que ses systĂšmes de sĂ©curitĂ© et ses procĂ©dures internes ont permis de contenir lâincident rapidement, sans atteinte Ă lâintĂ©gritĂ© des systĂšmes. :contentReference[oaicite:0]{index=0} ...
Selon Check Point Research, cette publication analyse « Handala Hack », persona opĂ©rĂ© par lâacteur iranien Void Manticore (a.k.a. Red Sandstorm, Banished Kitten) affiliĂ© au MOIS, connu pour des opĂ©rations de type « hack-and-leak » et des attaques destructrices par wipers, principalement contre IsraĂ«l, lâAlbanie (via Homeland Justice) et plus rĂ©cemment des entreprises amĂ©ricaines (ex. Stryker). âą Contexte et attribution. Handala Hack est lâune des trois façades opĂ©rationnelles de Void Manticore (avec Homeland Justice et lâancien Karma). Les intrusions partagent des TTPs similaires et des recouvrements de code dans les wipers. Des coopĂ©rations passĂ©es avec Scarred Manticore sont mentionnĂ©es. Les opĂ©rations 2024â2026 restent centrĂ©es sur des actions manuelles « hands-on » avec outils publics, services criminels pour lâaccĂšs initial, et indicateurs Ă©phĂ©mĂšres (VPN commerciaux, outils open source). ...
Selon Cisco Talos (billet signĂ© par Kri Dontje), lâĂ©quipe Vulnerability Discovery & Research a publiĂ© des avis sur des vulnĂ©rabilitĂ©s touchant Microsoft DirectX, OpenFOAM et la bibliothĂšque Libbiosig; la plupart ont Ă©tĂ© corrigĂ©es par les Ă©diteurs, Ă lâexception de celle de DirectX, et une couverture Snort est disponible. âą Microsoft DirectX â ĂlĂ©vation locale de privilĂšges (LPE) non corrigĂ©e: TALOS-2025-2293 (CVE-2025-68623), dĂ©couverte par KPC (Cisco Talos). La faille rĂ©side dans le processus dâinstallation de DirectX End-User Runtime (provenant de lâancien SDK DirectX), prĂ©sent notamment sur Windows XP SP2, Windows Server 2003 SP1, Windows Vista, Windows 7, Windows 8/8.1, Windows 10 et Ă©quivalents Server. Un utilisateur Ă faible privilĂšge peut remplacer un exĂ©cutable pendant lâinstallation, pouvant entraĂźner une Ă©lĂ©vation involontaire de privilĂšges. â Non corrigĂ©e Ă la date de la publication. ...
Source: South China Morning Post (scmp.com) â Lâarticle rapporte que le CNCERT en Chine a publiĂ© un deuxiĂšme avertissement concernant les risques de sĂ©curitĂ© et de donnĂ©es associĂ©s Ă lâagent IA OpenClaw, alors que son adoption sâaccĂ©lĂšre chez des gouvernements locaux, des entreprises technologiques et des fournisseurs cloud chinois. â ïž Le CNCERT prĂ©vient que le dĂ©ploiement « facile » promu par des clouds locaux a conduit Ă des installations et usages inappropriĂ©s, crĂ©ant des risques de sĂ©curitĂ© sĂ©vĂšres. OpenClaw, dĂ©veloppĂ© par Peter Steinberger (Autriche), automatise des tĂąches comme la gestion dâe-mails, la rĂ©daction de rapports et la prĂ©paration de prĂ©sentations, mais son fonctionnement autonome nĂ©cessite des permissions Ă©levĂ©es, augmentant lâexposition aux compromissions. ...
Selon BleepingComputer, un code JavaScript malveillant distribuĂ© par le SDK Web dâAppsFlyer a servi Ă dĂ©tourner des cryptomonnaies, dans ce qui pourrait ĂȘtre une attaque de chaĂźne dâapprovisionnement. Nature de lâincident : injection et livraison de JavaScript malveillant via un SDK tiers. Impact : dĂ©tournement de cryptomonnaies (hijacking) depuis des utilisateurs exposĂ©s. HypothĂšse dâorigine : attaque de supply chain impliquant la chaĂźne de distribution du SDK. ĂlĂ©ments clĂ©s Type dâattaque : Code malveillant / Supply chain đš Vecteur : AppsFlyer Web SDK Impact : Vol/dĂ©tournement de fonds en cryptomonnaies IOCs et TTPs ...
Selon une publication de recherche dâOrange Innovation Poland, ce travail examine comment la cyber threat intelligence (CTI) doit Ă©voluer pour couvrir les menaces propres aux systĂšmes dâIA, en structurant les sources (vulnĂ©rabilitĂ©s, incidents, TTP), en dĂ©finissant des IoC spĂ©cifiques Ă lâIA et en proposant des mĂ©thodes de similaritĂ© pour dĂ©tecter modĂšles/datasets malveillants. Le papier compare la CTI « classique » et la CTI pour lâIA, en listant des actifs et vulnĂ©rabilitĂ©s propres Ă lâIA (ex. empoisonnement de donnĂ©es, backdoors dans les modĂšles, adversarial examples, inversion de modĂšle, prompt injection). Il cartographie les phases dâattaque adaptĂ©es au cycle ML (reconnaissance des artefacts ML, accĂšs initial via API/produit, exĂ©cution, persistance via backdoor, Ă©lĂ©vation de privilĂšges notamment sur LLMs, Ă©vasion, exfiltration et impact). ...
Selon BleepingComputer (Sergiu Gatlan, 9 mars 2026), Ericsson Inc. (filiale amĂ©ricaine dâEricsson) indique quâun de ses prestataires de services a subi une intrusion ayant entraĂźnĂ© le vol de donnĂ©es. LâaccĂšs non autorisĂ© a eu lieu entre le 17 et le 22 avril 2025, lâincident a Ă©tĂ© dĂ©couvert le 28 avril 2025, signalĂ© au FBI, et une enquĂȘte avec des experts externes sâest conclue le 23 fĂ©vrier 2026. Au total, 15âŻ661 personnes sont concernĂ©es, dâaprĂšs des dĂ©pĂŽts auprĂšs des procureurs gĂ©nĂ©raux de Californie, du Texas et du Maine. ...
Source: tip-o-deincognito (GlassWorm: Part 2). Ce suivi technique couvre 72 h supplĂ©mentaires de monitoring de lâinfostealer macOS GlassWorm, dĂ©taillant la rotation dâinfrastructure C2 via mĂ©mos Solana, la persistance des panels de gestion, la poursuite des injections GitHub et une mise Ă jour des IoCs. LâopĂ©rateur a publiĂ© trois mĂ©mos Solana le 13 mars menant Ă de nouveaux C2, a fait tourner les chemins de payload et maintient plusieurs serveurs C2 Socket.IO actifs en parallĂšle. MalgrĂ© un kill switch HTTP (process.exit(0)), les serveurs continuent lâ« inventory-only mode » et les injections GitHub se sont poursuivies jusquâau 14 mars. Le DHT (ex-« push-like » de config) a Ă©tĂ© abandonnĂ©, au profit de mĂ©mos Solana publics. ...