Analyse De Menace

Source: Cybersecuritynews.com — Le 28 août 2025, des chercheurs rapportent une nouvelle campagne de phishing identifiée par le chercheur JAMESWT, qui abuse du caractère hiragana « ん » (U+3093) pour imiter visuellement la barre oblique « / » et fabriquer des URLs quasi indiscernables, ciblant des clients de Booking.com. 🎣 Type d’attaque: phishing avec homographes Unicode. La technique remplace « / » par « ん » (U+3093), qui ressemble visuellement à une barre oblique dans certains contextes d’affichage. Résultat: des chemins d’URL paraissent légitimes alors que la destination réelle pointe vers un autre domaine. ...

Source: Microsoft Threat Intelligence — Dans un billet technique, Microsoft décrit l’évolution de Storm-0501, acteur financier, vers des tactiques de ransomware centrées sur le cloud, ciblant des environnements hybrides pour escalader des privilèges dans Microsoft Entra ID et prendre le contrôle d’Azure afin d’exfiltrer et détruire des données, puis extorquer les victimes. ☁️ Contexte et changement de modus operandi: Storm-0501 passe d’un ransomware on-premises à un modèle de « ransomware cloud-native ». Au lieu de chiffrer massivement les postes, l’acteur exploite des capacités natives du cloud pour l’exfiltration rapide, la destruction de données et sauvegardes, puis la demande de rançon, sans dépendre d’un malware déployé sur endpoints. Historiquement lié à des cibles opportunistes (districts scolaires US en 2021 avec Sabbath, santé en 2023, Embargo en 2024), le groupe démontre une forte agilité dans les environnements hybrides. ...

Selon Mimecast (Threat Research), une campagne de hameçonnage ciblé MCTO3030 vise spécifiquement les administrateurs cloud de ScreenConnect afin de dérober des identifiants de super administrateur. Les messages de spear phishing, envoyés à faible volume pour rester discrets, ciblent des profils IT seniors et redirigent vers de faux portails ScreenConnect, avec une connexion probable à des opérations de ransomware (affiliés Qilin), permettant un mouvement latéral rapide via le déploiement de clients ScreenConnect malveillants. ...

Source: Google Cloud Blog (Mandiant/GTIG), 26 août 2025. Contexte: avis de sécurité sur une campagne de vol de données visant des instances Salesforce via l’application tierce Salesloft Drift, avec notification aux organisations impactées. Les analystes décrivent une campagne de vol et exfiltration de données menée par l’acteur suivi sous le nom UNC6395. Entre le 8 et le 18 août 2025, l’attaquant a utilisé des tokens OAuth Drift compromis pour accéder à de nombreuses instances Salesforce d’entreprises et en extraire de grands volumes de données. L’objectif principal évalué est la récolte d’identifiants et de secrets (notamment clés d’accès AWS AKIA, mots de passe et tokens liés à Snowflake). L’acteur a montré une certaine hygiène opérationnelle en supprimant des “query jobs”, sans affecter les journaux consultables. ...

Selon Cyber Security News, s’appuyant sur des observations de GreyNoise, une campagne de reconnaissance à grande échelle cible les services Microsoft RDP, en particulier RD Web Access et le client web RDP, avec plus de 30 000 adresses IP impliquées. 🚨 L’opération a débuté le 21 août 2025 avec près de 2 000 IPs puis a brusquement grimpé le 24 août à plus de 30 000 IPs utilisant des signatures client identiques, indiquant une infrastructure de botnet ou un outillage coordonné. Les chercheurs notent que 92 % de l’infrastructure de scan était déjà classée malveillante, avec un trafic source fortement concentré au Brésil (73 %), visant exclusivement des endpoints RDP basés aux États‑Unis. Sur les 1 971 hôtes initiaux, 1 851 partageaient des signatures client uniformes, suggérant un C2 centralisé typique d’opérations APT. ...

Source: Google Cloud Blog (Google Threat Intelligence, GTIG). Contexte: publication d’une analyse technique détaillant une campagne d’espionnage attribuée à UNC6384, groupe PRC‑nexus apparenté à TEMP.Hex/Mustang Panda, ciblant en priorité des diplomates et des organisations gouvernementales en Asie du Sud‑Est. • Chaîne d’attaque: l’opération commence par un détournement de portail captif via un Attacker‑in‑the‑Middle qui redirige le test de connectivité des navigateurs (gstatic generate_204) vers un site contrôlé par l’attaquant. La page imite une mise à jour de plugin en HTTPS avec certificat Let’s Encrypt et propose un exécutable signé. Le premier étage, STATICPLUGIN, télécharge un « BMP » qui est en réalité un MSI, installe des fichiers Canon légitimes détournés et side‑loade le lanceur CANONSTAGER, lequel déchiffre et exécute en mémoire le backdoor SOGU.SEC. ...

ncsc.admin.ch (NCSC/OFCS) rapporte, dans sa revue hebdomadaire du 26.08.2025, une augmentation significative des signalements de phishing liés à de faux avis de colis, avec un ciblage notable des utilisatrices et utilisateurs Apple. ⚠️ La campagne usurpe des marques connues comme La Poste Suisse et DPD et s’appuie sur des protocoles modernes comme iMessage (Apple) et RCS (Android). Les messages sont chiffrés de bout en bout, une caractéristique détournée par les attaquants pour contourner le scanning des opérateurs et maximiser la délivrabilité des liens malveillants. ...

Selon le blog de Check Point, une campagne active de phishing a exploité l’infrastructure de Google Classroom pour diffuser plus de 115 000 emails entre le 6 et le 12 août 2025, visant 13 500 organisations à travers plusieurs régions. Vecteur : Abus de Google Classroom via de fausses invitations à rejoindre des classes, contenant des offres commerciales sans rapport (revente de produits, services SEO). 🎓 Appel à l’action : Redirection vers un numéro WhatsApp afin de déplacer l’échange hors des canaux surveillés par l’entreprise. 📱 Portée : 5 vagues coordonnées en une semaine, ciblant des organisations en Europe, Amérique du Nord, Moyen-Orient et Asie. Objectif tactique : Tirer parti de la confiance accordée aux services Google pour contourner des filtres basés sur la réputation de l’expéditeur. Check Point indique que Harmony Email & Collaboration (SmartPhish) a détecté et bloqué la majorité des tentatives, et que des couches additionnelles ont empêché le reste d’atteindre les utilisateurs finaux. L’éditeur souligne l’augmentation de l’armement de services cloud légitimes, rendant insuffisants certains passerelles email traditionnelles face aux techniques évolutives de phishing. ...

Source: FIMI‑ISAC (projet FDEI) – Rapport d’évaluation des menaces de manipulation et d’ingérence informationnelles autour de l’élection présidentielle polonaise 2025. Le rapport documente des campagnes FIMI menées principalement par la Russie et la Biélorussie, avec des opérations clés telles que Doppelgänger, Operation Overload (Matryoshka/Storm‑1679), le Pravda Network, Radio Belarus, Lega Artis, ainsi que des activités de CitizenGO et Ordo Iuris, et des sites de clickbait nigérians. Les méta‑narratifs dominants visent l’Ukraine et les réfugiés ukrainiens, l’UE, le gouvernement polonais (anti‑establishment) et l’Occident, avec des messages destinés à dissuader le vote (menaces d’attentats le jour du scrutin), saper la confiance électorale et polariser la société. ...

Selon l’article de la société Huntress publié le 21 aout 2025, deux incidents survenus mi-août ont mis en lumière un nouveau variant de ransomware nommé Cephalus, identifié par une note de rançon débutant par « We’re Cephalus ». Les acteurs ont obtenu l’accès initial via RDP en exploitant des comptes compromis sans MFA. Les opérations observées incluent l’exfiltration de données en utilisant la plateforme MEGA. Particularité notable, le déploiement du ransomware repose sur une chaîne de chargement atypique impliquant un DLL sideloading à partir d’un exécutable légitime SentinelOne (SentinelBrowserNativeHost.exe). Le binaire malveillant est ensuite chargé depuis un fichier data.bin contenant le code du ransomware. ...