Analyse De Menace

Le rapport publié par Dragos pour le premier trimestre de 2025 met en lumière l’augmentation des incidents de ransomware ciblant les organisations industrielles à travers le monde. Ransomware reste une menace persistante pour les organisations industrielles, perturbant les opérations critiques et mettant à l’épreuve la sécurité des infrastructures essentielles. Au cours du premier trimestre de 2025, Dragos a identifié 708 incidents de ransomware affectant des entités industrielles à l’échelle mondiale, marquant une augmentation par rapport aux environ 600 incidents documentés au quatrième trimestre de 2024. ...

L’actualité provient d’un extrait publié sur le sitedomaintools.com Depuis février 2024, un acteur inconnu crée de manière continue des extensions malveillantes pour le navigateur Chrome. Ces extensions sont diffusées via des sites web qui se font passer pour des services légitimes, tels que des outils de productivité, des assistants de création ou d’analyse de médias, des services VPN, des plateformes de crypto-monnaie, et des services bancaires. Les extensions apparaissent généralement comme fonctionnelles, mais elles se connectent en réalité à des serveurs malveillants pour envoyer des données utilisateur, recevoir des commandes, et exécuter du code arbitraire. ...

L’article publié par Bleeping Computer rapporte une activité malveillante menée par un acteur de menace nommé Hazy Hawk. Ce groupe utilise une technique appelée détournement de CNAME DNS pour exploiter des points de terminaison cloud abandonnés appartenant à des organisations de confiance. Hazy Hawk intègre ces points de terminaison détournés dans des systèmes de distribution de trafic à grande échelle, utilisés pour des escroqueries et la distribution de trafic frauduleux. Cette méthode permet de détourner des ressources qui ne sont plus activement gérées par leurs propriétaires légitimes, facilitant ainsi la diffusion de contenus malveillants ou trompeurs. ...

L’article publié sur le blog de la société Aikido le 18 mai 2025, relate la découverte d’un package NPM malveillant nommé os-info-checker-es6. L’enquête a révélé que ce package ne fonctionnait pas comme annoncé, ce qui a conduit les chercheurs à approfondir leur investigation. Les chercheurs ont découvert que le package utilisait des invitations Google malveillantes et des caractères Unicode « Private Use Access » (PUAs) pour obfusquer son code et échapper à la détection. Cette technique ingénieuse a compliqué la tâche des analystes, mais leur persévérance a permis de démasquer la menace. ...

Selon un article de Reuters, les responsables de l’énergie aux États-Unis réévaluent les risques liés aux équipements chinois utilisés dans l’infrastructure des énergies renouvelables après la découverte de dispositifs de communication inexpliqués. Les onduleurs solaires, majoritairement fabriqués en Chine, sont essentiels pour connecter les panneaux solaires et les éoliennes aux réseaux électriques. Bien qu’ils soient conçus pour permettre un accès à distance pour les mises à jour, des pare-feu sont généralement installés pour empêcher toute communication directe avec la Chine. ...

L’actualité publiée le 15 mai 2025 révèle que des gangs de ransomware ont rejoint des attaques en cours ciblant SAP NetWeaver, en exploitant une vulnérabilité de sévérité maximale. Cette faille permet aux acteurs malveillants d’obtenir une exécution de code à distance sur des serveurs vulnérables. Cette vulnérabilité critique dans SAP NetWeaver a attiré l’attention des cybercriminels, notamment des groupes spécialisés dans les ransomwares. Ces groupes exploitent cette faille pour compromettre les systèmes et potentiellement déployer des logiciels malveillants. ...

Selon un rapport du Threat Intelligence Group de Google, les détaillants américains devraient prêter attention aux récentes cyberattaques qui ont visé des entreprises britanniques. Ces attaques sont attribuées à un collectif connu sous le nom de Scattered Spider, motivé par des gains financiers. Le groupe Scattered Spider est suspecté d’avoir orchestré plusieurs cyberattaques, mettant en lumière des vulnérabilités potentielles dans les systèmes de sécurité des entreprises ciblées. Bien que les détails spécifiques des attaques ne soient pas divulgués, l’avertissement de Google souligne l’importance pour les détaillants américains de renforcer leurs mesures de sécurité. ...

L’article publié par EclecticIQ met en lumière une campagne d’exploitation menée par des APT (advanced persistent threat) liés à la Chine en avril 2025. Ces acteurs ont ciblé les réseaux d’infrastructures critiques en exploitant une vulnérabilité dans SAP NetWeaver Visual Composer. Les attaquants ont utilisé la vulnérabilité CVE-2025-31324, qui permet l’exécution de code à distance via un téléchargement de fichier non authentifié. Cette évaluation repose sur un répertoire exposé publiquement, contrôlé par les attaquants, contenant des journaux d’événements détaillés des systèmes compromis. ...

Le Google Threat Intelligence Group (GTIG) a récemment découvert un nouveau malware baptisé LOSTKEYS, attribué au groupe de menaces COLDRIVER, soutenu par le gouvernement russe. Ce malware est capable de voler des fichiers à partir d’une liste prédéfinie d’extensions et de répertoires, tout en envoyant des informations système et des processus en cours aux attaquants. LOSTKEYS a été observé en janvier, mars et avril 2025, marquant une nouvelle évolution dans l’arsenal de COLDRIVER, un groupe principalement connu pour ses attaques de phishing ciblant des personnalités de haut niveau comme les gouvernements de l’OTAN, des ONG, et d’anciens officiers de renseignement et diplomatiques. GTIG suit COLDRIVER depuis plusieurs années, notamment pour leur malware SPICA en 2024. ...

Cet article analyse les activités du groupe de cybermenaces UNC3944, également connu sous le nom de Scattered Spider. UNC3944 est un acteur de menace financièrement motivé, connu pour son utilisation persistante de l’ingénierie sociale et ses communications audacieuses avec les victimes. Initialement, le groupe ciblait principalement les organisations liées aux télécommunications pour des opérations de SIM swap. Cependant, depuis début 2023, ils ont élargi leur champ d’action à d’autres industries en se concentrant sur des attaques de ransomware et d’extorsion de données. ...