Analyse De Menace

Selon Cofense, des chercheurs observent une tendance où des acteurs de menace combinent phishing d’identifiants et livraison de malwares au sein des mêmes campagnes, remettant en cause l’idée que ces méthodes seraient exclusives. L’objectif est de garantir la compromission (vol d’identifiants ou accès initial via malware) même si la cible est mieux protégée contre l’un des deux vecteurs. 🧪 D’un point de vue technique, quatre modes de livraison sont documentés : ...

Source: DomainTools — DomainTools signale l’identification de 21 nouveaux domaines malveillants associés à l’acteur e‑crime PoisonSeed, qui usurpent la plateforme d’emailing SendGrid et utilisent de faux interstitiels CAPTCHA Cloudflare pour légitimer leurs pages et voler des identifiants. L’activité décrite met en avant une campagne de phishing et de collecte d’identifiants visant des plateformes de cryptomonnaies et des environnements d’entreprise. Elle présente des connexions potentielles avec le groupe SCATTERED SPIDER, dont des opérations récentes ont provoqué des perturbations majeures dans les secteurs de la distribution, de l’assurance et des compagnies aériennes. ...

L’enquête détaille comment ALVIVA HOLDING, un fournisseur d’hébergement réputé auprès des cybercriminels, est lié à une société-écran basée aux Seychelles et associée à des activités criminelles mondiales telles que la cybercriminalité, le blanchiment d’argent et le trafic de stupéfiants. Les infrastructures d’ALVIVA sont connues pour servir au ransomware, DDoS, infostealer et principalement au « bulletproof hosting », soit l’hébergement conçu pour échapper aux autorités. Le rapport s’appuie sur une analyse technique des nouveaux domaines Email utilisés par le groupe Clop ransomware (ex. support@pubstorm.com et pubstorm.net), dont les IPs (185.55.242.97 en Allemagne et 147.45.112.231 au Vanuatu) sont toutes rattachées à ALVIVA HOLDING. La société fournit aussi l’infrastructure pour les échanges P2P et torrents utilisée par Clop, soulignant une dépendance stratégique aux services d’ALVIVA. ...

Selon Black Hills Information Security, des fonctionnalités Windows légitimes — Microsoft Store (msstore) et WinGet (App Installer) — peuvent être exploitées en entreprise pour installer, sans privilèges élevés, des applications à double usage permettant de contourner des contrôles de sécurité. L’étude met en évidence des risques liés à l’installation non autorisée d’outils de prise de contrôle à distance, de clients bases de données, d’utilitaires système et de logiciels de tunneling, facilitant le mouvement latéral et l’exfiltration de données. Des paquets msstore et l’utilitaire WinGet permettent ces installations malgré l’absence de droits administrateur. ...

Contexte — L’extrait cite le Threat Debrief de Bitdefender et dresse un état des lieux 2025 où SafePay, auparavant discret, devient un acteur marquant du paysage ransomware. • Chiffres clés: plus de 270 victimes revendiquées depuis le début de l’année. En juin, SafePay arrive en tête du classement de Bitdefender avec 73 organisations revendiquées en un mois. En juillet, le groupe annonce 42 nouvelles victimes, son deuxième meilleur total mensuel. ...

Selon SCYTHE (référence: scythe.io), le groupe anglophone Scattered Spider est passé d’arnaques de SIM swapping menées par des adolescents à des opérations de ransomware sophistiquées visant des organisations majeures au Royaume‑Uni et aux États‑Unis, notamment dans le retail, l’hôtellerie et la finance. Leurs attaques s’appuient sur une ingénierie sociale avancée pour manipuler les équipes de support IT et sur l’abus d’outils administratifs légitimes. L’analyse souligne le besoin de protocoles stricts côté help desk, de formations et d’une surveillance accrue des comptes à privilèges et des outils de gestion à distance. ...

Source : Silent Push — L’article présente des requêtes de détection prêtes à l’emploi pour traquer l’infrastructure associée à des familles de malware comme Lumma Stealer, StealC, Latrodectus, Clearfake et Kongtuke, en s’appuyant sur la plateforme Silent Push Community Edition. Silent Push présente des méthodes de détection proactive de l’infrastructure malveillante grâce à des requêtes avancées accessibles dans sa plateforme, dont une partie est disponible au sein de l’offre Community Edition. L’outil repose sur la signature de comportements précis lors de la création et l’utilisation de domaines, serveurs C2 et ressources web typiques de familles de malware, infostealers et campagnes de phishing en 2025. ...

Source: Trend Micro (analyse publiée le 9 septembre 2025). Le rapport couvre une campagne d’août 2025 menée par le groupe ransomware émergent The Gentlemen, caractérisée par des outils adaptatifs et des contournements ciblés des protections d’entreprise. Les secteurs les plus touchés sont la manufacture, la construction, la santé et l’assurance, avec un fort focus Asie‑Pacifique (notamment Thaïlande) et les États‑Unis (17 pays affectés). Chaîne d’attaque et mouvements: l’accès initial est attribué avec probabilité à l’exploitation de services exposés ou à des identifiants compromis. Des indices montrent la compromission d’un compte administrateur FortiGate et d’un serveur FortiGate accessible depuis Internet. La découverte réseau s’appuie sur Advanced IP Scanner et des scripts batch (ex. “1.bat”) pour l’énumération massive des comptes/groupes Active Directory. La latéralisation utilise PsExec, l’affaiblissement des paramètres d’authentification via modifications du Registre, et la persistance via AnyDesk. Des scans internes sont réalisés avec Nmap; un usage de PuTTY/SSH est également évoqué. ...

Source : Natto Thoughts (Substack) — Cette analyse s’appuie sur un avis de cybersécurité conjoint et identifie trois entreprises chinoises impliquées dans le soutien aux opérations de l’APT Salt Typhoon, ciblant l’infrastructure télécom et gouvernementale mondiale. L’étude met en avant trois entités : Sichuan Juxinhe (évaluée comme société écran), Beijing Huanyu Tianqiong (probablement société écran) et Sichuan Zhixin Ruijie (présentée comme contractant légitime). Elles auraient fourni des capacités cyber aux services de renseignement chinois, notamment le contrôle de routeurs réseau, l’analyse de trafic et des outils d’accès à distance. ...

Source: Huntress (billet de blog). Contexte: Huntress explique qu’un acteur de menace a lancé un essai et installé l’agent EDR sur sa propre machine, permettant à l’équipe SOC d’observer directement ses activités et d’alimenter des détections, tout en rappelant le cadre de transparence et de confidentialité associé à la télémétrie EDR. Huntress a identifié que l’hôte était malveillant en corrélant un nom de machine déjà vu sur plusieurs incidents et des signaux de comportement suspect. L’analyse a relié l’infrastructure primaire de l’adversaire (hébergée sur l’AS « 12651980 CANADA INC. », désormais VIRTUO) à un schéma d’accès touchant plus de 2 471 identités sur deux semaines, avec des activités incluant la création de règles mail malveillantes et le vol/rafraîchissement de tokens de session. Des chasses rétroactives ont aussi révélé 20 identités compromises supplémentaires, plusieurs déjà accédées avant le déploiement de Huntress. ...