Analyse De Menace

Selon Hunt.io (billet du 20 août 2025, avec recoupements Trellix), une campagne sophistiquée attribuée à APT MuddyWater cible des directeurs financiers sur plusieurs continents via des leurres hébergés sur Firebase/Web.app, des scripts VBS et l’abus d’outils légitimes pour maintenir un accès persistant. • Panorama de l’attaque 🎯: Des e‑mails d’hameçonnage ciblé se faisant passer pour un recruteur de Rothschild & Co mènent vers des pages Firebase avec CAPTCHA/maths et redirections AES chiffrées. La chaîne d’infection déploie des scripts VBS, livre des charges additionnelles depuis une infrastructure contrôlée et installe NetBird et OpenSSH afin d’établir une persistance et un contrôle à distance. Les opérateurs abusent également d’outils légitimes comme AteraAgent.exe. Des recoupements d’IoC, d’infrastructure et de TTPs alignent cette activité avec APT MuddyWater. ...

Selon Push (recherche signée par Luke Jennings), une campagne de phishing exploite un tenant Microsoft configuré avec ADFS et de la malvertising pour obtenir des redirections légitimes depuis outlook.office.com vers une page de phishing Microsoft clonée en reverse‑proxy. • Le kit observé est un classique de type Attacker‑in‑the‑Middle (AitM) clonant la page de connexion Microsoft afin d’intercepter la session et contourner la MFA. L’originalité ne vient pas de la page mais de la chaîne de redirections et de l’évasion de détection. ...

Selon l’Operational Summary de l’ACN (Agenzia per la Cybersicurezza Nazionale) italienne pour le mois de juillet, le volume de vulnérabilités et la disponibilité de preuves de concept publiques continuent de progresser. Donnée clé: près de 4 000 CVE ont été publiées en juillet, confirmant une dynamique soutenue de divulgation de vulnérabilités. Tendance notable: une croissance constante des PoC publics est observée, ce qui réduit les délais de weaponization ⏱️, facilitant une exploitation plus rapide des failles après leur publication. ...

Selon ravenmail.io (14 août 2025), des acteurs malveillants mènent une campagne de credential phishing en détournant les Cisco Safe Links afin d’échapper au filtrage des emails et de tirer parti de la confiance des utilisateurs. L’article explique comment l’exploitation de l’infrastructure de sécurité légitime fonctionne: les liens potentiellement suspects sont réécrits en « secure-web.cisco.com » par Cisco pour une analyse en temps réel. Des attaquants capitalisent sur la confiance de marque (« secure » + « Cisco ») et sur les contrôles centrés sur le domaine visible, créant un biais de confiance et un contournement des détections. Ils profitent aussi d’un délai de classification des nouvelles menaces pour opérer avant que les destinations ne soient signalées. La logique est similaire aux protections de Microsoft Defender et Proofpoint TAP. ...

Selon Doctor Web, une entreprise d’ingénierie russe a de nouveau été visée par le groupe APT Scaly Wolf, deux ans après une première intrusion. L’éditeur a analysé l’attaque détectée fin juin 2025 et reconstitué la chaîne d’infection, mettant en lumière un backdoor modulaire « Updatar » et l’usage d’outils de post-exploitation standard. • Vecteur initial 📧: début mai 2025, des e-mails « financiers » sans texte contenaient un PDF leurre et une archive ZIP protégée par mot de passe. Le ZIP renfermait un exécutable déguisé en PDF via une double extension (.pdf.exe). Le binaire initial, détecté comme Trojan.Updatar.1 (signature ajoutée le 6 mai 2025), sert de téléchargeur pour les autres modules du backdoor afin d’exfiltrer des données. La nouvelle version de Updatar.1 utilise une « RockYou Obfuscation »: initialisation massive de chaînes RockYou.txt et encodage XOR + décalage aléatoire des chaînes utiles, rendant l’analyse plus difficile. ...

Selon BleepingComputer, une campagne d’espionnage menée par un acteur soutenu par un État cible des ambassades étrangères en Corée du Sud pour déployer le malware XenoRAT à partir de dépôts GitHub malveillants. L’attaque repose sur l’abus de référentiels GitHub servant de vecteur de distribution, permettant d’acheminer et d’installer XenoRAT, un outil d’accès à distance, sur les systèmes des cibles 🕵️‍♂️🐀. Les cibles identifiées sont des ambassades étrangères en Corée du Sud, dans un contexte d’espionnage étatique. ...

Source : Kaspersky — Contexte : l’article passe en revue l’évolution du backdoor PipeMagic et les techniques, tactiques et procédures (TTP) de ses opérateurs sur plusieurs années et incidents. • L’analyse retrace un fil chronologique allant de l’« incident RansomExx » en 2022 jusqu’à des campagnes observées au Brésil et en Arabie saoudite. • Elle met en évidence l’évolution des TTP des opérateurs de PipeMagic, montrant comment le backdoor et ses usages se sont transformés au fil des opérations. ...

Moonlock (by MacPaw) publie une analyse technique originale d’un nouvel infostealer macOS nommé Mac.c, attribué à l’acteur ‘mentalpositive’ et concurrent d’Atomic macOS Stealer (AMOS), avec un développement mené ’en public’ sur des forums clandestins. Contexte opérateur et modèle économique: ‘mentalpositive’ promeut Mac.c sur des forums russophones, sollicite des retours, et vise un modèle stealer-as-a-service (abonnement annoncé à 1 500 $/mois). Des mises à jour mettent en avant un remplacement de Ledger Live, une réduction de la taille binaire, l’optimisation d’un panneau d’administration (génération de builds, suivi des infections) et un module additionnel de phishing Trezor (1 000 $). Des canaux de contact incluent Telegram, Tox et Jabber. ...

Selon SuspectFile (SuspectFile.com), cette interview présente Securotrop, un groupe de ransomware apparu début 2025 qui opère comme affilié RaaS sur l’écosystème Qilin, avec une image séparée et une approche sélective centrée sur l’exploitation des données exfiltrées. • Positionnement et cible: Securotrop se veut distinct par une focalisation sur l’analyse des documents exfiltrés (états financiers, P&L, listes d’actifs, clients, documents opérationnels). Le groupe affirme éviter les secteurs santé et gouvernement pour viser des cibles commerciales et maintient un blog .onion indépendant listant actuellement 10 victimes au format texte. L’objectif est de bâtir une réputation de constance dans la tenue des promesses de publication/leak. 🔎 ...

Selon Arctic Wolf, Interlock est un groupe de ransomware apparu en septembre 2024, actif en Amérique du Nord et en Europe, menant des campagnes opportunistes de double extorsion sans modèle RaaS classique. Des attaques marquantes incluent la fuite chez DaVita (plus de 200 000 patients affectés) et l’attaque ransomware contre la ville de St. Paul. 🎯 Le mode opératoire s’appuie sur des sites compromis hébergeant de faux mises à jour qui incitent les victimes, via l’ingénierie sociale ClickFix, à exécuter des commandes PowerShell malveillantes. Le backdoor PowerShell est obfusqué, assure une persistance par modifications de registre, et communique avec l’infrastructure de C2 en abusant du service TryCloudflare. ...