Bienvenue sur Cyberveille

📅 Source : Censys Blog, publié le 26 juin 2026, par Aidan Holland (Senior Security Researcher, Censys ARC). Contexte AsyncRAT est un cheval de Troie d’accès distant (RAT) open-source pour Windows, publié en janvier 2019 par le développeur NYAN-x-CAT sur GitHub. Il constitue la racine d’une famille de malwares ayant engendré environ 40 variants nommés à travers trois générations de forks successifs. Arbre généalogique de la famille La lignée s’organise ainsi : ...

📅 Source et contexte : Article publié le 25 juin 2026 par la Microsoft Defender Security Research Team sur le blog officiel Microsoft Security. Il documente une campagne d’intrusion active depuis avril 2026, non attribuée à un acteur connu, ciblant des organisations du secteur hôtelier en Europe et en Asie. 🎯 Vecteur d’accès initial : La campagne repose sur la distribution d’archives ZIP à thème photo (photo-<random>.zip) contenant des fichiers LNK déguisés en images PNG (IMG-*.png.lnk en Wave 1, PHOTO-*.png.lnk en Wave 2). Les liens vers ces archives sont relayés via des emails de phishing exploitant l’infrastructure Calendly (sous-domaine em1618.calendly.com) et les redirections Google (share.google), une technique qualifiée d’authentication laundering permettant de passer les contrôles SPF, DKIM et DMARC. Les leurres sont rédigés en japonais, danois et néerlandais et exploitent des thèmes liés aux plaintes clients, infestations de punaises de lit, et alertes sanitaires. ...

🏥 Contexte Source : Times of Israel, publié le 26 juin 2026. Le ministère israélien de la Santé a procédé cette semaine au blocage technique de l’accès aux outils d’IA publics externes sur l’ensemble des réseaux organisationnels des hôpitaux publics d’Israël. 🔒 Mesure prise Les employés hospitaliers ne peuvent désormais plus accéder depuis leurs postes de travail professionnels aux outils suivants : ChatGPT Claude Gemini L’accès reste possible via les appareils mobiles personnels des employés. Le blocage a pris les personnels par surprise, selon Channel 12. ...

📰 Contexte Source : UA.NEWS, publié le 26 juin 2026. L’article relate la fermeture annoncée de Telega, une application de messagerie russe non officielle présentée comme un clone de Telegram, dont la fermeture est prévue pour le 1er juillet 2026. 🕵️ Nature de la menace Derrière l’apparence d’une application de messagerie grand public, Telega constituait en réalité un système de surveillance massif conçu par les services de renseignement russes pour exercer un contrôle total sur la vie numérique des citoyens, avec des fuites de données vers le FSB. ...

🔍 Contexte Publié le 24 juin 2026 par Hillel Pinto (XM Cyber), cet article présente une nouvelle technique d’escalade de privilèges macOS permettant à un compte utilisateur standard de désactiver des solutions de sécurité d’entreprise (EDR, MDM) sans droits administrateur, sans exploit noyau et sans déclencher d’alertes. ⚙️ Mécanisme technique L’attaque repose sur une chaîne d’exploitation en plusieurs étapes : Exploitation du cache CDHash noyau : un binaire signé légitime est lancé pour peupler le cache de confiance du noyau, puis la structure du bundle applicatif est modifiée pour injecter un payload NIB (Interface Builder) malveillant. Héritage du contexte de confiance : le code malveillant s’exécute dans l’espace mémoire du composant signé légitime, héritant de ses credentials de confiance noyau, ce qui lui permet de communiquer avec les daemons privilégiés sans authentification. Bridge Objective-C via JXA : pour contourner les limitations d’AppleScript, un bridge multi-étapes est construit : chargement de OSAKit.framework, transition vers JavaScript for Automation (JXA), accès au bridge Objective-C, manipulation de malloc/free, dispatch_block_create, objc_msgSend, et spoofing de structures Block_layout. Méthodes XPC exposées exploitées : runProcessWithCommand:, terminateAppsAndAgents:, ceaseSystemExtensionWithReply: 🎯 Produits impactés CrowdStrike Falcon Sensor : déchargement complet du capteur depuis un compte UID 502, terminaison de la surveillance des processus et de la visibilité réseau. → Détection et prévention ajoutées, bounty payé. Kandji MDM Agent : désactivation permanente via une chaîne XPC en deux phases, suppression des gardes EDR et terminaison de l’extension Endpoint Security Framework (ESF). → CVE-2026-39118 assigné, bounty payé, correctif déployé. 🛠️ Outil associé Le chercheur a développé XPC Hunter, un framework open-source automatisé de découverte des surfaces d’escalade de privilèges XPC sur toutes les applications macOS installées. Sa présentation est prévue à Black Hat US en août 2026. ...

🔍 Contexte Le 16 juin 2026, l’équipe Microsoft Edge Extensions Security a publié une analyse technique détaillée de la campagne StegoAd, un portmanteau de steganography et adware. Active depuis au moins 2021, cette campagne a atteint sa phase la plus sophistiquée entre mars 2024 et avril 2026, impactant environ 2,6 millions d’utilisateurs via 119 extensions malveillantes publiées sur le Microsoft Edge Add-ons Store. 🎯 Nature de la menace StegoAd est une plateforme de monétisation et de vol de credentials opérée par un acteur non nommé utilisant plus de 90 comptes développeurs jetables. Les extensions se font passer pour des outils légitimes (bloqueurs de publicités, VPN, téléchargeurs vidéo, traducteurs) tout en embarquant des charges utiles malveillantes activées après un délai de dormance de 3 à 5,5 jours. ...

🗓️ Contexte Publié le 29 juin 2026 par The Register, cet article rapporte la divulgation publique non coordonnée d’exploits zero-day par un chercheur anonyme se faisant appeler bikini, via un dépôt GitHub nommé exploitarium (depuis supprimé). 🎯 Nature de l’incident Le chercheur a publié du code d’exploitation fonctionnel pour des vulnérabilités zero-day affectant 15 produits logiciels et projets open source, sans notification préalable d’aucun éditeur ni mainteneur. Deux de ces vulnérabilités font l’objet d’une exploitation active au moment de la publication. ...

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-06-21 → 2026-06-28. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-20245 CVSS: 7.8 EPSS: 9.92% VLAI: High (confidence: 0.9888) CISA: KEV ProduitCisco — Cisco Catalyst SD-WAN Controller Publié2026-06-04T22:33:00.748Z A vulnerability in the CLI of Cisco Catalyst SD-WAN Controller, formerly SD-WAN vSmart, Cisco Catalyst SD-WAN Manager, formerly SD-WAN vManage, and Cisco Catalyst SD-WAN Validator, formerly SD-WAN vBond, could allow an authenticated, local attacker to execute arbitrary commands as root by supplying a crafted file to the affected system. This vulnerability is due to insufficient validation of user-supplied input. An attacker could exploit this vulnerability by uploading a crafted file to the affected system. A successful exploit could allow the attacker to perform command injection attacks on an affected system and elevate their privileges as the root user. To exploit this vulnerability, the attacker must have netadmin privileges on the affected system. This would require valid credentials or exploitation of or . Cisco is not aware of successful exploitation by other methods. Cisco has observed limited cases where the exploitation of this bug resulted in a configuration change pushed to edge devices. Cisco recommends that customers upgrade to the fixed software that is documented in the that was published on May 14, 2026, and verify the configuration of the edge devices. ...

🏛️ Contexte Source : ASIO (Australian Security Intelligence Organisation), discours du directeur général Mike Burgess AM, publié le 24 juin 2026. Il s’agit de l’évaluation annuelle des menaces 2026, présentée publiquement et couvrant l’ensemble du spectre des menaces pesant sur l’Australie. 🌐 Environnement sécuritaire global L’ASIO décrit un environnement dynamique, diversifié et dégradé, caractérisé par des menaces concurrentes, en cascade et cumulatives. La compétition entre grandes puissances, l’espionnage à des niveaux extrêmes, la préparation au sabotage et la violence politiquement motivée constituent les axes principaux. ...

🏦 Contexte Source : dépôt SEC (EDGAR), publié le 26 juin 2026. River Financial Corporation, incluant sa filiale River Bank & Trust, a notifié la SEC d’un incident de cybersécurité survenu mi-juin 2026. 🔓 Déroulement de l’incident Vers le 16 juin 2026 : un acteur malveillant non identifié obtient un accès non autorisé à l’environnement réseau de River Financial Corporation. Vers le 19 juin 2026 : River identifie l’activité malveillante. Un ransomware est déployé sur des portions de l’environnement serveur. 🛡️ Mesures de confinement Désactivation des comptes administratifs compromis. Mise hors ligne des systèmes impactés. 🔍 Investigation en cours River, assistée d’un cabinet forensique tiers, mène une investigation pour déterminer la nature et l’étendue de l’incident, notamment si des données personnelles identifiables (PII) ont été accédées ou exfiltrées. L’enquête est toujours en cours au moment de la publication. ...