Analyse De Menace

Selon Socket (socket.dev), l’équipe Threat Research a identifié 10 paquets npm typosquattés, publiés le 4 juillet 2025 et totalisant plus de 9 900 téléchargements en plus de quatre mois, qui orchestrent une opération de vol d’identifiants multi‑étapes. Les paquets imitent des bibliothèques populaires (TypeScript, discord.js, ethers.js, nodemon, react-router-dom, zustand) et ont été publiés par l’acteur « andrew_r1 ». Le vecteur d’exécution abuse du hook npm postinstall pour lancer un script install.js qui détecte l’OS et ouvre un nouveau terminal afin d’exécuter un payload obfusqué (app.js), masquant l’activité durant l’installation. Le code est protégé par quatre couches d’obfuscation: wrapper eval auto‑décodant, XOR à clé dynamique dérivée du code du déchiffreur, encodage URL et obfuscation du flot de contrôle (switch-case, bases mixtes hex/octal). ...

Source: Blaze’s Security Blog (Bart Blaze). Contexte: billet technique annonçant qu’Earth Estries, un acteur APT à nexus chinois, mène une nouvelle campagne exploitant une vulnérabilité récente de WinRAR menant à l’exécution de shellcode, avec publication d’indicateurs de compromission (IoC) et de règles YARA. L’acteur, aussi connu sous les noms Salt Typhoon et autres, est associé à l’usage d’implants tels que Snappybee (Deed RAT), ShadowPad, etc. Dans la campagne décrite, l’exploitation d’une faille WinRAR (CVE-2025-8088) conduit à l’exécution de shellcode. Le billet fournit les IoC et des règles YARA correspondantes. 🧩 IoC principaux (extraits tels que listés): ...

Selon Cisco Talos (blog Talos Intelligence), Qilin figure parmi les rançongiciels les plus actifs en 2025, avec plus de 40 victimes publiées par mois. L’analyse couvre ses secteurs ciblés, ses techniques d’intrusion et d’évasion, ainsi qu’une variante Qilin.B optimisée pour les environnements virtualisés. • Portée et cibles 🎯 Menace RaaS très prolifique en 2025 (40+ victimes/mois). Secteurs les plus touchés : manufacturing (23%), services professionnels (18%), commerce de gros (10%). Zones principalement affectées : États‑Unis, Canada, Royaume‑Uni, France, Allemagne. Modus operandi : double extorsion (chiffrement + exfiltration de données), avec déploiement de double encryptors pour maximiser l’impact sur réseaux et environnements virtualisés. • Chaîne d’intrusion et vol d’identifiants 🔐 ...

Selon l’extrait d’actualité fourni, des cas récents montrent l’abus de l’outil open source Cyberduck par des acteurs du ransomware Qilin pour l’exfiltration de données. Les attaquants tirent parti de services cloud légitimes pour l’exfiltration 📤, ce qui leur permet de camoufler leurs activités au sein de domaines de confiance et de trafic web légitime. Un artefact clé mentionné est le fichier d’historique Cyberduck, qui indique l’usage d’un hôte Backblaze comme destination ainsi que l’activation d’un paramètre personnalisé de téléversements fractionnés/multipart afin de transférer de gros fichiers ☁️. ...

Selon Unit 42 (Palo Alto Networks), des groupes menaçants détournent l’outil open source AzureHound afin d’énumérer des ressources Azure et de cartographier des chemins d’escalade de privilèges, en s’appuyant sur les APIs Microsoft Graph et Azure REST, sans présence préalable dans l’environnement victime. 🔎 Capacités et usage malveillant: AzureHound effectue la découverte via Microsoft Graph (graph.microsoft.com) et l’Azure REST API (management.azure.com) en utilisant des identifiants ou des jetons dérobés. Des acteurs comme Curious Serpens, Void Blizzard et Storm-0501 l’exploitent pour collecter des données sur les identités, les permissions, le stockage et l’infrastructure cloud. ...

Selon l’analyse référencée par Malasada Tech, « Convert Master » est un browser hijacker se faisant passer pour un outil de conversion de documents et distribué via des publicités Google malveillantes. Le malware récupère dynamiquement sa configuration depuis une infrastructure C2 (conf.conclie.com/ConMasD) afin de cibler des navigateurs spécifiques et d’injecter des URL de moteurs de recherche. Il modifie les paramètres du navigateur pour ajouter de faux moteurs, notamment Mapilor et Retro Revive, et met en place une chaîne de redirection: requête utilisateur → Mapilor (wesd.mapilor.com) → Retro Revive (searchretrorevive.com) → Yahoo Search, permettant un suivi des requêtes et une potentielle exfiltration de données. 🧭 ...

Source: ENISA (European Union Agency for Cybersecurity) — Contexte: publication de l’ENISA Threat Landscape 2024 (période couverte: juillet 2023 à juin 2024, sortie en septembre 2024). Le rapport met en avant 7/8 menaces « prime » avec les menaces contre la disponibilité (DDoS) et le ransomware en tête, suivis des menaces contre les données, malwares, ingénierie sociale, manipulation de l’information et chaîne d’approvisionnement. ENISA indique avoir observé 11 079 incidents (dont 322 visant plusieurs États membres), avec une hausse notable des événements dans l’UE au 1er semestre 2024. ...

Selon Picus Security, Predatory Sparrow est un groupe de cyber-sabotage menant des opérations hautement disruptives contre l’infrastructure, des organismes publics et des institutions financières iraniennes, dans le contexte de la « guerre de l’ombre » cyber entre Israël et l’Iran. Le groupe a visé des cibles majeures comme le réseau ferroviaire national, des aciéries, des stations-service, ainsi que des institutions financières telles que Bank Sepah et la plateforme crypto Nobitex. Les opérations se distinguent par une perturbation opérationnelle massive, une destruction délibérée de données via des wipers, et un message public provocateur. ...

Source: Huntress — Le billet détaille l’exploitation active de la vulnérabilité CVE-2025-59287 dans Windows Server Update Services (WSUS), une exécution de code à distance (RCE) via désérialisation de l’AuthorizationCookie, observée dès 2025-10-23 23:34 UTC. Microsoft a publié un correctif hors cycle le 23 octobre, et Huntress a constaté des attaques chez quatre clients. Produits/portée: WSUS exposé publiquement sur les ports par défaut 8530/TCP (HTTP) et 8531/TCP (HTTPS). Vulnérabilité: Désérialisation sur l’AuthorizationCookie menant à RCE (CVE-2025-59287). Un billet de Hawktrace fournit un PoC. Impact observé: Environ 25 hôtes susceptibles dans la base de partenaires de Huntress; exploitation attendue comme limitée car WSUS est rarement exposé. 🛠️ Comportements et chaîne d’exécution observés: ...

Selon Trend Micro Research, une campagne sophistiquée d’Agenda (Qilin) combine des leurres de type faux CAPTCHA, l’abus d’outils RMM légitimes et des techniques BYOVD pour déployer et exécuter un binaire de ransomware Linux sur des hôtes Windows, contournant les contrôles et EDR centrés sur Windows. Depuis janvier 2025, 591 victimes dans 58 pays ont été affectées. L’intrusion commence par des pages de faux CAPTCHA hébergées sur l’infrastructure Cloudflare R2 distribuant des infostealers, suivies du déploiement de portes dérobées COROXY (proxies SOCKS) en multiples instances afin d’obfusquer le C2. Les attaquants ciblent ensuite de manière stratégique l’infrastructure de sauvegarde Veeam pour le vol d’identifiants via des scripts PowerShell contenant des charges Base64 et interrogeant plusieurs bases de données Veeam. ...