Analyse De Menace

Selon Darktrace, l’exploitation de la vulnérabilité critique CVE-2025-59287 affectant WSUS (Windows Server Update Services) s’est intensifiée après une correction initiale insuffisante par Microsoft suivie d’un correctif hors bande, avec une inscription par la CISA au catalogue KEV le 24 octobre. Contexte et impact 🚨: La vulnérabilité permet une exécution de code à distance non authentifiée sur des serveurs WSUS exposés à Internet. Darktrace fait état de multiples cas aux États‑Unis, touchant les secteurs information/communication et éducation. L’exploitation a commencé immédiatement après les correctifs, soulignant l’attrait de la faille pour les attaquants. ...

HelixGuard Team publie une analyse mettant en lumière une campagne d’abus de l’écosystème d’extensions VSCode (Microsoft Marketplace et OpenVSX), identifiant 12 composants malveillants — dont 4 toujours non retirés — et détaillant leurs comportements, canaux d’exfiltration et adresses C2. Faits saillants 🚨 Au moins 12 extensions malveillantes détectées, 4 encore en ligne: Christine-devops1234.scraper, Kodease.fyp-23-s2-08, GuyNachshon.cxcx123, sahil92552.CBE-456. Vecteur: attaque supply chain via le marketplace VSCode, ciblant développeurs et postes de travail. Impacts: exfiltration de code/source et données sensibles, captures d’écran/clipboard, backdoors/RCE, détection d’installation et téléchargement de trojan. Contexte sectoriel: citation d’une étude arXiv signalant ~5,6% d’extensions « suspectes » (2 969/52 880) totalisant 613 M d’installations. Comportements malveillants observés ...

Selon l’article, une campagne active nommée « PhantomRaven » cible les développeurs via des paquets npm malveillants afin de voler des informations sensibles. — Points clés — Type d’attaque : Compromission de la chaîne d’approvisionnement logicielle via des paquets npm malveillants. Cibles : Développeurs et environnements de développement/CI. Impact : Vol de tokens d’authentification, secrets CI/CD et identifiants GitHub. Ampleur : Des dizaines de paquets concernés. — Détails — La campagne « PhantomRaven » s’appuie sur la publication de multiples modules npm piégés. Après installation par des développeurs, ces paquets exécutent du code visant à collecter des secrets d’accès, incluant des tokens d’authentification, des secrets d’intégration continue/livraison continue (CI/CD) et des identifiants GitHub. ...

Selon VulnCheck, une exploitation active de la vulnérabilité XWiki CVE-2025-24893 a été capturée par leurs “Canaries”, révélant une chaîne d’attaque en deux étapes livrant un cryptomineur via injection de template. • Contexte et statut KEV: VulnCheck indique que la vulnérabilité n’est pas listée dans le CISA KEV, soulignant que l’exploitation réelle peut précéder la reconnaissance officielle. L’entrée a été ajoutée au VulnCheck KEV en mars 2025 après des signalements publics de Cyble, Shadow Server et CrowdSec, puis confirmée par des observations directes des Canaries. ...

Selon security.com, une campagne attribuée à des acteurs liés à la Russie (Sandworm/Seashell Blizzard, GRU) a visé des services d’entreprises et des entités gouvernementales en Ukraine pendant deux mois, avec pour objectifs l’exfiltration d’informations sensibles et l’accès persistant au réseau. L’attaque s’appuie sur le déploiement de webshells sur des serveurs exposés et non corrigés, dont le webshell Localolive associé à Sandworm. Les assaillants ont privilégié des tactiques de type Living-off-the-Land, limitant l’empreinte malveillante et démontrant une connaissance approfondie des outils natifs Windows. ...

Selon Trustwave SpiderLabs, une analyse des menaces 2024-2025 montre une intensification des attaques visant le secteur public américain. Le rapport recense plus de 117 entités gouvernementales US affectées par des ransomwares, une augmentation de 140% des attaques de callback phishing (TOAD), et des campagnes d’usurpation d’identité visant des autorités de transport et la Social Security Administration (SSA). Les vecteurs majeurs incluent l’exploitation de systèmes hérités, la compromission de comptes email gouvernementaux pour la diffusion de phishing, l’abus de plateformes légitimes (comme DocuSign et GovDelivery) et des activités d’États-nations. Le secteur public reste attractif du fait de bases de PII précieuses, d’un potentiel de perturbation opérationnelle, et de budgets cybersécurité limités. 🚨 ...

Selon Socket (socket.dev), l’équipe Threat Research a identifié 10 paquets npm typosquattés, publiés le 4 juillet 2025 et totalisant plus de 9 900 téléchargements en plus de quatre mois, qui orchestrent une opération de vol d’identifiants multi‑étapes. Les paquets imitent des bibliothèques populaires (TypeScript, discord.js, ethers.js, nodemon, react-router-dom, zustand) et ont été publiés par l’acteur « andrew_r1 ». Le vecteur d’exécution abuse du hook npm postinstall pour lancer un script install.js qui détecte l’OS et ouvre un nouveau terminal afin d’exécuter un payload obfusqué (app.js), masquant l’activité durant l’installation. Le code est protégé par quatre couches d’obfuscation: wrapper eval auto‑décodant, XOR à clé dynamique dérivée du code du déchiffreur, encodage URL et obfuscation du flot de contrôle (switch-case, bases mixtes hex/octal). ...

Source: Blaze’s Security Blog (Bart Blaze). Contexte: billet technique annonçant qu’Earth Estries, un acteur APT à nexus chinois, mène une nouvelle campagne exploitant une vulnérabilité récente de WinRAR menant à l’exécution de shellcode, avec publication d’indicateurs de compromission (IoC) et de règles YARA. L’acteur, aussi connu sous les noms Salt Typhoon et autres, est associé à l’usage d’implants tels que Snappybee (Deed RAT), ShadowPad, etc. Dans la campagne décrite, l’exploitation d’une faille WinRAR (CVE-2025-8088) conduit à l’exécution de shellcode. Le billet fournit les IoC et des règles YARA correspondantes. 🧩 IoC principaux (extraits tels que listés): ...

Selon Cisco Talos (blog Talos Intelligence), Qilin figure parmi les rançongiciels les plus actifs en 2025, avec plus de 40 victimes publiées par mois. L’analyse couvre ses secteurs ciblés, ses techniques d’intrusion et d’évasion, ainsi qu’une variante Qilin.B optimisée pour les environnements virtualisés. • Portée et cibles 🎯 Menace RaaS très prolifique en 2025 (40+ victimes/mois). Secteurs les plus touchés : manufacturing (23%), services professionnels (18%), commerce de gros (10%). Zones principalement affectées : États‑Unis, Canada, Royaume‑Uni, France, Allemagne. Modus operandi : double extorsion (chiffrement + exfiltration de données), avec déploiement de double encryptors pour maximiser l’impact sur réseaux et environnements virtualisés. • Chaîne d’intrusion et vol d’identifiants 🔐 ...

Selon l’extrait d’actualité fourni, des cas récents montrent l’abus de l’outil open source Cyberduck par des acteurs du ransomware Qilin pour l’exfiltration de données. Les attaquants tirent parti de services cloud légitimes pour l’exfiltration 📤, ce qui leur permet de camoufler leurs activités au sein de domaines de confiance et de trafic web légitime. Un artefact clé mentionné est le fichier d’historique Cyberduck, qui indique l’usage d’un hôte Backblaze comme destination ainsi que l’activation d’un paramètre personnalisé de téléversements fractionnés/multipart afin de transférer de gros fichiers ☁️. ...