Analyse De Menace

Microsoft Threat Intelligence (Microsoft Security Blog) publie une analyse d’une nouvelle variante du malware macOS XCSSET, axée sur l’infection d’environnements de développement Xcode et l’extension de ses capacités d’exfiltration et de persistance. • Le malware introduit une chaîne d’infection en quatre étapes et des modules mis à jour. Il se propage via des projets Xcode partagés entre développeurs 👨‍💻. Il renforce la furtivité en utilisant des AppleScripts compilés en mode run‑only et des communications C2 chiffrées en AES avec une clé prédéfinie. ...

Source: Microsoft Threat Intelligence (blog Microsoft Security). Contexte: Microsoft décrit l’analyse et le blocage d’une campagne de phishing par identifiants qui aurait utilisé du code généré par IA pour obfusquer un payload dans un fichier SVG et contourner des défenses classiques. • Nature de l’attaque: phishing d’identifiants distribué depuis un compte e-mail de petite entreprise compromis, avec tactique d’e-mail auto-adressé (expéditeur = destinataire, cibles en BCC) et piège SVG déguisé en PDF. Le SVG redirigeait vers une page avec faux CAPTCHA, vraisemblablement suivi d’une fausse page de connexion pour voler des identifiants. 🎯 ...

FortiGuard Labs (Fortinet) publie une analyse d’une campagne ciblée usurpant des agences gouvernementales ukrainiennes, combinant SVG malveillants, archives protégées par mot de passe et une chaîne d’exécution CHM/HTA pour déployer Amatera Stealer et PureMiner. • Vecteur initial et leurre: Des emails falsifiés contiennent des pièces jointes SVG intégrant des iframes HTML qui redirigent les victimes vers des téléchargements d’archives protégées par mot de passe. • Chaîne d’infection: Les archives livrent un fichier CHM qui exécute un HTA distant via CountLoader (avec six commandes supportées pour la livraison de charges). Deux méthodes sont décrites: 1) ergosystem.zip utilise la compilation .NET AOT avec process hollowing pour déployer PureMiner; 2) smtpB.zip s’appuie sur PythonMemoryModule pour l’exécution fileless d’Amatera Stealer. ...

Selon la source fournie, REM Proxy, un réseau de proxys à visée criminelle, est présenté comme l’un des principaux utilisateurs du botnet SystemBC, offrant à ses clients environ 80 % du réseau SystemBC. Le service commercialise un pool de 20 000 routeurs Mikrotik et agrège également des proxys ouverts trouvés en ligne. REM Proxy est décrit comme populaire auprès d’acteurs malveillants, notamment ceux derrière TransferLoader, lié au groupe de ransomware Morpheus. ...

Source : Darktrace — Analyse d’une campagne émergente baptisée ShadowV2, conçue comme une plateforme DDoS-as-a-service, mêlant outils cloud-native et malware classique. • Le cœur de l’opération repose sur un C2 Python hébergé sur GitHub CodeSpaces, un spreader Python utilisant Docker comme vecteur d’accès initial, et un binaire Go jouant le rôle de RAT avec API REST pour l’enregistrement, le polling et l’exécution de commandes. L’infrastructure expose une spécification OpenAPI via FastAPI/Pydantic et un panneau opérateur complet, illustrant un modèle de DDoS-as-a-service. ...

Selon CloudSEK, une opération de botnet exploitant un modèle de Loader-as-a-Service distribue les charges malveillantes RondoDoX, Mirai et Morte. La campagne cible systématiquement des routeurs SOHO, des appareils IoT et des applications d’entreprise, avec une hausse d’attaques de 230 % et une rotation rapide de l’infrastructure. 🚨 Vecteurs et vulnérabilités: les acteurs abusent d’injections de commandes via des paramètres POST non filtrés dans des interfaces web (champs NTP, syslog, hostname), et exploitent des CVE connues affectant WebLogic, WordPress et vBulletin. Ils tirent aussi parti d’identifiants par défaut et de chargeurs multi‑étapes pour déployer les payloads sur plusieurs architectures. ...

Selon Picus Security (blog), dans la catégorie Threats and Vulnerabilities, BRICKSTORM est une backdoor sophistiquée attribuée au groupe APT UNC5221 (nexus Chine) visant des services juridiques, fournisseurs SaaS et entreprises technologiques aux États‑Unis. BRICKSTORM est un malware en Go avec variantes Linux, Windows et BSD, offrant de l’exécution de commandes via HTTP et du tunneling proxy SOCKS pour un accès à long terme. Les opérateurs maintiennent une persistance durable avec un temps de présence moyen de près d’un an et recourent à des techniques d’évasion avancées (binaries Go obfusqués via Garble, logique de démarrage différé). ...

Zscaler ThreatLabz publie une analyse détaillée d’une campagne « ClickFix » attribuée à COLDRIVER ciblant des membres de la société civile russe (dissidents, ONG, défenseurs des droits humains). L’enquête met en lumière deux nouvelles familles de malwares, BAITSWITCH et SIMPLEFIX, et des techniques d’ingénierie sociale avancées. • Chaîne d’attaque: des faux checkboxes Cloudflare Turnstile copient dans le presse‑papiers des commandes malveillantes rundll32.exe, incitant les victimes à les exécuter. La campagne est multi‑étapes et recourt à un filtrage côté serveur pour affiner les cibles et limiter l’exposition. ...

Selon CyberArk (billet de blog), l’attaque « Shai-Hulud » a frappé l’écosystème npm en septembre 2024, exploitant des faiblesses d’identité (comptes humains, identités machines, relations de confiance logicielle) pour mener une attaque de chaîne d’approvisionnement ayant compromis 500+ paquets en moins de 24 heures. Le ver 🪱 a été diffusé via des paquets npm trojanisés tels que "@ctrl/tinycolor@4.1.1", livrant une charge utile multi‑étapes. À l’exécution de bundle.js, le malware a collecté des identifiants (fichiers, variables d’environnement, points de terminaison IMDS cloud), s’appuyant notamment sur des outils comme TruffleHog. Les jetons volés (npm, GitHub, cloud) étaient validés, puis les données exfiltrées vers des dépôts GitHub publics et des services de webhooks. ...

Selon Socket (blog), l’équipe Threat Research a identifié deux crates Rust malveillantes, fasterlog et asyncprintln, qui usurpent la bibliothèque légitime fast_log et dérobent des clés privées de portefeuilles crypto. Les paquets auraient totalisé 8 424 téléchargements avant leur retrait par l’équipe sécurité de Crates, qui a aussi verrouillé les comptes associés. — Découverte et impact — • Type d’attaque : attaque de la chaîne d’approvisionnement via des crates Rust malveillantes. • Produits concernés : crates fasterlog et asyncprintln (imitation de fast_log). • Impact : vol de clés privées Ethereum et Solana, avec 8 424 téléchargements observés avant la suppression. • Réponse de l’écosystème : retrait des paquets et verrouillage des comptes par l’équipe Crates. ...