Analyse De Menace

Source: Cybereason — Cybereason décrit une campagne d’exfiltration de données menée par le groupe CL0P entre juillet et septembre 2025 contre des déploiements on‑premise d’Oracle E‑Business Suite (EBS). L’opération, similaire aux précédentes campagnes de CL0P (ex. MOVEit), s’appuie sur des vulnérabilités corrigées dans la CPU Oracle de juillet 2025. Oracle a confirmé l’exploitation de failles déjà identifiées et a exhorté à appliquer immédiatement les correctifs. Les vulnérabilités exploitées incluent CVE-2025-30746 (iStore), CVE-2025-30745 (MES for Process Manufacturing) et CVE-2025-50107 (Universal Work Queue). Classées de sévérité moyenne, elles sont exploitables à distance via HTTP par des attaquants non authentifiés, avec une certaine interaction utilisateur requise. Les correctifs sont disponibles depuis la CPU de juillet 2025. ...

Selon l’ENISA (European Union Agency for Cybersecurity), dans son rapport Threat Landscape 2025 (période juillet 2024 – juin 2025, 4 875 incidents), le paysage européen des menaces se professionnalise et s’industrialise, avec une exploitation rapide des vulnérabilités, une forte prévalence des campagnes de phishing, et une montée des DDoS hacktivistes à faible impact. Les vecteurs d’intrusion dominants: phishing (≈60%) – souvent sans charge utile immédiate – et exploitation de vulnérabilités (21,3%) – très corrélée au déploiement de code malveillant. Les botnets (9,9%) et les applications malveillantes (8%) restent notables. L’intrusion suit (17,8% des cas) derrière un volume massif de DDoS (≈76,7%), surtout attribués à des hacktivistes. Les campagnes exploitent fréquemment des failles en quelques jours. ...

Security Affairs relaie une analyse de GreyNoise signalant un pic inhabituel de scans dirigés vers les portails de connexion Palo Alto Networks le 3 octobre 2025, au plus haut niveau des trois derniers mois. 🚨 Chiffres clés: 1 285 IPs ont scanné les portails Palo Alto (vs ~200 habituellement). 93% des IPs sont jugées « suspectes », 7% « malveillantes ». 🌍 Répartition: majorité des sources depuis les États-Unis, avec des grappes plus petites au Royaume-Uni, Pays-Bas, Canada et Russie. Les scans visent des profils Palo Alto émulés, avec un focus notable sur des systèmes situés aux États-Unis et au Pakistan. ...

Selon GreyNoise (blog), un pic de reconnaissance structurée ciblant les portails de connexion Palo Alto a été détecté le 3 octobre 2025, marquant le volume le plus élevé observé en 90 jours. 🚨 Surge de scans: ~1 300 IP uniques (hausse de 500 % par rapport à la baseline <200/jour). 93 % des IP sont classées suspicious et 7 % malicious. Les cibles sont principalement les profils GlobalProtect et PAN‑OS. La dynamique rappelle des activités de scan vues avant des divulgations de zero‑day (ex. Cisco ASA), bien que ce motif précis n’ait pas historiquement corrélé à de nouvelles divulgations pour Palo Alto. GreyNoise recommande une surveillance renforcée et d’envisager le blocage des infrastructures malveillantes identifiées. ...

Selon Arctic Wolf, Oracle a indiqué que des clients E‑Business Suite reçoivent des emails d’extorsion après exploitation de neuf vulnérabilités corrigées dans le Critical Patch Update de juillet 2025. Les vulnérabilités concernent plusieurs produits et composants d’Oracle E‑Business Suite, notamment Oracle Lease and Finance Management, Mobile Field Service, Universal Work Queue, ainsi que les composants Applications Framework, CRM Technical Foundation, iStore et Universal Work Queue. Neuf CVE sont listées: CVE-2025-30743, CVE-2025-30744, CVE-2025-50105, CVE-2025-50071, CVE-2025-30746, CVE-2025-30745, CVE-2025-50107, CVE-2025-30739, CVE-2025-50090. ...

Selon malasada.tech, une campagne de phishing à grande échelle, attribuée avec probabilité à PoisonSeed, cible des chercheurs d’emploi via des domaines à thème YouTube et des redirections hébergées sur l’infrastructure Salesforce afin de collecter des identifiants. Le flux d’attaque 🎣 s’appuie sur des liens de suivi Salesforce (cl.s12.exct[.]net) menant à des pages d’atterrissage hébergées chez Cloudflare, avec des domaines enregistrés via NICENIC. Les victimes sont d’abord confrontées à de fausses pages d’erreur nginx (anti-analyse) nécessitant une interaction humaine, avant d’être redirigées vers de faux formulaires de prise de rendez-vous, puis vers des pages de vol d’identifiants. ...

Source et contexte — The Register publie une analyse sur le rapport du Joint Committee on National Security Strategy (JCNSS) du Parlement britannique, qui avertit que le gouvernement est « trop timide » dans la protection des câbles sous-marins acheminant l’essentiel du trafic internet du pays et environ £220 milliards de transactions financières par jour. Le rapport souligne des vulnérabilités structurelles: 64 câbles relient le Royaume‑Uni au reste du monde, avec 75 % du trafic transatlantique passant par deux câbles atterrissant à Bude (Cornouailles). Bien que la redondance permette de rerouter en cas d’incident et qu’il n’y ait « pas de menace imminente » pour la connectivité nationale, l’accent est mis sur la capacité d’absorption des chocs et le risque d’atteintes coordonnées, notamment si les liaisons vers l’Europe étaient visées. Les dommages accidentels (pêche, ancres) sont fréquents — environ 200 pannes par an — et les satellites ne représentent qu’environ 5 % du trafic mondial. ...

Source: Daily Dark Web (dailydarkweb.net), 3 octobre 2025. Contexte: une nouvelle alliance de cybercriminels — regroupant ShinyHunters, Scattered Spider et LAPSUS$ — a mis en ligne un site d’extorsion visant Salesforce, avec une menace de divulguer près d’un milliard d’enregistrements si une rançon n’est pas payée avant le 10 octobre 2025. L’article décrit une campagne coordonnée mi-2025 contre des clients de Salesforce qui n’exploite pas de faille du cœur de la plateforme, mais repose sur de la social engineering avancée, notamment du vishing (usurpation d’équipes IT/Help Desk par téléphone) pour faire approuver des applications tierces malveillantes dans les environnements Salesforce des victimes. ...

Selon TechCrunch, un groupe de cybercriminels connu sous les noms Lapsus$, Scattered Spider et ShinyHunters a lancé un site de fuite sur le dark web pour faire pression sur ses victimes, affirmant détenir environ un milliard d’enregistrements volés à des entreprises stockant leurs données clients dans des bases de données cloud hébergées par Salesforce. 🔓 Le site, baptisé « Scattered LAPSUS$ Hunters », vise l’extorsion en menaçant de publier les données dérobées si les victimes ne paient pas. Le message d’accueil appelle les organisations à « nous contacter pour reprendre le contrôle de la gouvernance des données et empêcher leur divulgation publique ». ...

Selon Trend Micro Research, une campagne agressive de malware baptisée SORVEPOTEL exploite WhatsApp comme vecteur principal d’infection et touche surtout des organisations au Brésil. Le malware se diffuse via des archives ZIP piégées déguisées en documents légitimes envoyées sur WhatsApp (et potentiellement par email). Une fois ouvertes, des fichiers LNK malveillants déclenchent des commandes PowerShell obfusquées (fenêtre cachée et payload Base64) qui téléchargent des scripts depuis une infrastructure d’attaque dédiée. SORVEPOTEL établit une persistance sur Windows et détourne les sessions WhatsApp Web actives pour envoyer automatiquement le ZIP malveillant à tous les contacts et groupes, entraînant une propagation rapide et des bannissements fréquents de comptes. ...