Analyse De Menace

Cet article de Wiz.io décrit les activités de TraderTraitor, un groupe de menace parrainé par l’État nord-coréen, opérant sous l’ombrelle du groupe Lazarus. TraderTraitor cible spécifiquement les organisations de cryptomonnaie et de blockchain à travers des attaques sophistiquées, y compris l’ingénierie sociale avancée, les compromissions de la chaîne d’approvisionnement et les attaques basées sur le cloud. Le groupe a été lié à des vols majeurs de cryptomonnaie totalisant des milliards de dollars, tels que le vol de 308 millions de dollars de DMM Bitcoin et le piratage de 1,5 milliard de dollars de Bybit. ...

Cet article de Trend Micro met en lumière les activités du groupe APT UNC3886, qui cible les infrastructures critiques dans les secteurs des télécommunications, gouvernement, technologie et défense, avec un focus récent sur Singapour. UNC3886 utilise des vulnérabilités zero-day dans les systèmes VMware vCenter/ESXi, Fortinet FortiOS et Juniper pour mener des attaques sophistiquées. Ils déploient un ensemble d’outils personnalisés pour maintenir un accès persistant et contourner les défenses avancées. Les outils utilisés incluent le backdoor TinyShell basé sur Python pour un accès à distance via HTTP/HTTPS, le rootkit Reptile pour le masquage de processus/fichiers et les capacités de port knocking, et le rootkit Medusa pour les portes dérobées PAM et la journalisation des authentifications. ...

L’actualité publiée par Forescout met en lumière une augmentation significative des attaques sur les appareils d’infrastructure réseau interne, avec une hausse des exploits passant de 3% en 2022 à 14% en 2024. Des vulnérabilités critiques ont été découvertes dans les appareils Citrix NetScaler (CVE-2025-6543, CVE-2025-5777) et Cisco ISE (CVE-2025-20281, CVE-2025-20282, CVE-2025-20337), démontrant un changement de tactique des attaquants, qui passent d’une exploitation uniquement axée sur le périmètre à une exploitation des appareils internes au réseau. ...

L’article publié le 25 juillet 2025 par Varonis met en lumière une campagne de vishing sophistiquée menée par le groupe de menaces UNC6040, identifiée par le Threat Intelligence Group de Google. Ce groupe, motivé par des gains financiers, cible les environnements Salesforce pour voler des données et pratiquer l’extorsion. UNC6040 utilise une méthodologie d’attaque en plusieurs étapes, débutant par des reconnaissances via des systèmes téléphoniques automatisés et des appels en direct où ils se font passer pour le support IT. Les victimes sont incitées à installer des versions modifiées du Salesforce Data Loader, déguisées en outils légitimes comme ‘My Ticket Portal’, permettant ainsi aux attaquants d’obtenir un accès non autorisé aux données sensibles. ...

L’article publié sur le blog de PolySwarm met en lumière l’évolution significative du malware Atomic macOS Stealer (AMOS), qui intègre désormais un backdoor persistant permettant un accès à long terme aux systèmes infectés et l’exécution de commandes à distance. Cette transformation fait d’AMOS une menace persistante sophistiquée, touchant plus de 120 pays. Le malware cible principalement les détenteurs de cryptomonnaies et les freelances via des campagnes de spear phishing et la distribution de logiciels piratés, avec une activité notable aux États-Unis, au Royaume-Uni, en France, en Italie et au Canada. ...

Cet article de Unit42 de Palo Alto Networks met en lumière comment les attaquants exploitent les attaques homographes pour contourner les filtres de sécurité des emails et tromper les destinataires. Ces attaques utilisent des caractères Unicode visuellement similaires provenant de différents scripts pour remplacer les caractères latins, rendant difficile la détection par les systèmes de sécurité. L’analyse présente trois cas concrets impliquant l’usurpation de services financiers, de plateformes de partage de documents et de Spotify. Les attaquants combinent la manipulation homographe avec des techniques de social engineering pour éviter les systèmes de détection et inciter les utilisateurs à divulguer leurs identifiants. ...

L’article de iverify.io met en lumière l’émergence de nouvelles plateformes de malware-as-a-service (MaaS), telles que PhantomOS et Nebula, qui permettent aux cybercriminels de cibler facilement les appareils Android sans compétences techniques. Ces plateformes offrent des kits de malware prêts à l’emploi pour environ 300 dollars par mois, comprenant des fonctionnalités avancées comme l’interception de la 2FA, le contournement des logiciels antivirus, l’installation silencieuse d’applications, le suivi GPS, et des superpositions de phishing spécifiques à des marques. Les utilisateurs de ces plateformes bénéficient d’un support via Telegram, d’une infrastructure backend, et de méthodes intégrées pour contourner Google Play Protect. ...

Le rapport mensuel de Red Canary sur le renseignement sur les menaces révèle des changements significatifs dans le paysage des menaces, avec un accent particulier sur les nouvelles menaces ciblant les systèmes Windows et macOS. Amber Albatross conserve sa position de menace principale, tandis que CleanUpLoader fait son entrée dans le top 10 par le biais de campagnes de malvertising visant le personnel informatique. Ce malware fonctionne en tant que DLL exécutée via rundll32.exe, établissant une persistance à travers des tâches planifiées qui s’exécutent toutes les 3 minutes. Il est distribué via des domaines typo-squattés imitant des sites de logiciels légitimes. ...

L’analyse publiée par Imperva met en lumière l’impact des opérations militaires sur l’activité cybercriminelle. Lors de l’opération Rising Lion menée par Israël, une augmentation de 172% du trafic web a été observée, accompagnée d’une hausse de 63% des attaques WAAP et d’une intensité accrue des attaques DDoS de plus de 1,300%. Les attaques se sont principalement concentrées sur les sites gouvernementaux, financiers et de défense, démontrant l’interconnexion entre les conflits cinétiques et les cyberattaques. Les menaces WAAP ont augmenté de 320% au-dessus de la normale, tandis que les attaques DDoS de niveau 7 ont enregistré une croissance de 54% avec des taux de requêtes par seconde en hausse de 1,336%. ...

L’actualité provient de Sygnia et traite d’une campagne de cyber-espionnage sophistiquée nommée Fire Ant. Cette campagne cible spécifiquement les infrastructures de virtualisation telles que VMware ESXi et vCenter, en utilisant des techniques au niveau de l’hyperviseur pour échapper à la détection et maintenir un accès persistant. La campagne a exploité la vulnérabilité CVE-2023-34048 pour compromettre initialement vCenter, permettant l’extraction de vpxuser credentials pour accéder à ESXi. Des portes dérobées persistantes ont été déployées via des VIBs non signés et des fichiers local.sh modifiés. De plus, la vulnérabilité CVE-2023-20867 a été utilisée pour exécuter des commandes non authentifiées de l’hôte vers l’invité. ...