Augmentation des cyberattaques lors d'opérations militaires

L’analyse publiĂ©e par Imperva met en lumiĂšre l’impact des opĂ©rations militaires sur l’activitĂ© cybercriminelle. Lors de l’opĂ©ration Rising Lion menĂ©e par IsraĂ«l, une augmentation de 172% du trafic web a Ă©tĂ© observĂ©e, accompagnĂ©e d’une hausse de 63% des attaques WAAP et d’une intensitĂ© accrue des attaques DDoS de plus de 1,300%. Les attaques se sont principalement concentrĂ©es sur les sites gouvernementaux, financiers et de dĂ©fense, dĂ©montrant l’interconnexion entre les conflits cinĂ©tiques et les cyberattaques. Les menaces WAAP ont augmentĂ© de 320% au-dessus de la normale, tandis que les attaques DDoS de niveau 7 ont enregistrĂ© une croissance de 54% avec des taux de requĂȘtes par seconde en hausse de 1,336%. ...

24 juillet 2025 Â· 1 min

Campagne d'espionnage sophistiquée 'Fire Ant' ciblant VMware

L’actualitĂ© provient de Sygnia et traite d’une campagne de cyber-espionnage sophistiquĂ©e nommĂ©e Fire Ant. Cette campagne cible spĂ©cifiquement les infrastructures de virtualisation telles que VMware ESXi et vCenter, en utilisant des techniques au niveau de l’hyperviseur pour Ă©chapper Ă  la dĂ©tection et maintenir un accĂšs persistant. La campagne a exploitĂ© la vulnĂ©rabilitĂ© CVE-2023-34048 pour compromettre initialement vCenter, permettant l’extraction de vpxuser credentials pour accĂ©der Ă  ESXi. Des portes dĂ©robĂ©es persistantes ont Ă©tĂ© dĂ©ployĂ©es via des VIBs non signĂ©s et des fichiers local.sh modifiĂ©s. De plus, la vulnĂ©rabilitĂ© CVE-2023-20867 a Ă©tĂ© utilisĂ©e pour exĂ©cuter des commandes non authentifiĂ©es de l’hĂŽte vers l’invitĂ©. ...

24 juillet 2025 Â· 2 min

Campagne DDoS pro-russe de NoName057(16) ciblant l'Europe

L’Insikt Group a publiĂ© une analyse dĂ©taillĂ©e des activitĂ©s du groupe hacktiviste pro-russe NoName057(16), qui a ciblĂ© plus de 3 700 hĂŽtes uniques en Europe entre juillet 2024 et juillet 2025. Ce groupe, apparu en mars 2022 aprĂšs l’invasion de l’Ukraine par la Russie, utilise une plateforme nommĂ©e DDoSia pour mener des attaques par dĂ©ni de service distribuĂ© (DDoS). Les cibles principales de NoName057(16) sont des entitĂ©s gouvernementales et publiques dans des pays europĂ©ens opposĂ©s Ă  l’invasion russe, avec une concentration gĂ©ographique notable en Ukraine, France, Italie, et SuĂšde. Le groupe maintient un rythme opĂ©rationnel Ă©levĂ©, avec une moyenne de 50 cibles uniques par jour. ...

24 juillet 2025 Â· 2 min

Campagne de malware bancaire Android ciblant les utilisateurs indiens

CYFIRMA a identifiĂ© une campagne de malware bancaire Android ciblant les utilisateurs en Inde. Ce malware utilise une architecture de dropper en deux Ă©tapes pour voler des identifiants, intercepter des SMS et effectuer des transactions financiĂšres non autorisĂ©es. Il utilise Firebase pour les opĂ©rations de command-and-control et exploite de nombreuses permissions Android pour maintenir sa persistance et Ă©chapper Ă  la dĂ©tection. Le malware est composĂ© d’un dropper (SHA256: ee8e4415eb568a88c3db36098b7ae8019f4efe565eb8abd2e7ebba1b9fb1347d) et d’une charge utile principale (SHA256: 131d6ee4484ff3a38425e4bc5d6bd361dfb818fe2f460bf64c2e9ac956cfb13d) qui exploite des permissions Android telles que REQUEST_INSTALL_PACKAGES, READ_SMS et SEND_SMS. Il utilise Firebase Realtime Database pour la communication C2, met en Ɠuvre des pages de phishing imitant des interfaces bancaires lĂ©gitimes, et emploie des techniques de furtivitĂ© comme la dissimulation d’activitĂ©s de lancement. ...

24 juillet 2025 Â· 2 min

Découverte d'un nouveau malware Linux utilisant des images JPEG

Selon un article publiĂ© par BleepingComputer, un nouveau malware Linux nommĂ© Koske a Ă©tĂ© dĂ©couvert. Ce malware aurait Ă©tĂ© dĂ©veloppĂ© en utilisant l’intelligence artificielle et exploite des images JPEG apparemment inoffensives de pandas pour dĂ©ployer du code malveillant directement dans la mĂ©moire systĂšme. Le malware Koske utilise une technique sophistiquĂ©e consistant Ă  cacher du code malveillant dans des fichiers d’images, une mĂ©thode connue sous le nom de stĂ©ganographie. Cette approche permet au malware de passer inaperçu par de nombreux systĂšmes de dĂ©tection traditionnels qui ne vĂ©rifient pas le contenu des fichiers multimĂ©dias. ...

24 juillet 2025 Â· 1 min

Découverte d'une opération cybercriminelle nigériane ciblant les entreprises de transport

L’article de KrebsOnSecurity relate une attaque de phishing rĂ©ussie contre un cadre d’une entreprise de transport, qui a permis de dĂ©couvrir une vaste opĂ©ration cybercriminelle nigĂ©riane connue sous le nom de SilverTerrier. Cette attaque a entraĂźnĂ© une perte financiĂšre Ă  six chiffres lorsque des criminels ont utilisĂ© des identifiants de messagerie compromis pour envoyer de fausses factures aux clients. L’enquĂȘte a rĂ©vĂ©lĂ© que le groupe a enregistrĂ© plus de 240 domaines de phishing ces derniĂšres annĂ©es, ciblant spĂ©cifiquement les entreprises de l’aĂ©ronautique et du transport Ă  l’échelle mondiale. ...

24 juillet 2025 Â· 2 min

Deux campagnes APT sophistiquées ciblent la communauté tibétaine

Zscaler ThreatLabz a publiĂ© un rapport dĂ©taillant deux campagnes APT sophistiquĂ©es, nommĂ©es Operation GhostChat et Operation PhantomPrayers, qui ciblent la communautĂ© tibĂ©taine Ă  l’occasion du 90e anniversaire du DalaĂŻ Lama. Les acteurs de menace liĂ©s Ă  la Chine ont compromis des sites web lĂ©gitimes et ont utilisĂ© des techniques de social engineering pour distribuer des applications vĂ©rolĂ©es contenant les malwares Ghost RAT et PhantomNet. Ces campagnes utilisent des chaĂźnes d’infection multi-Ă©tapes sophistiquĂ©es, exploitant des vulnĂ©rabilitĂ©s de DLL sideloading, des injections de code, et des charges utiles chiffrĂ©es. ...

24 juillet 2025 Â· 2 min

Émergence du groupe RaaS Chaos : une nouvelle menace en cybersĂ©curitĂ©

L’article publiĂ© le 24 juillet 2025 met en lumiĂšre l’apparition d’un nouveau groupe de Ransomware-as-a-Service (RaaS) nommĂ© Chaos. Ce groupe a Ă©mergĂ© dĂšs fĂ©vrier 2025 et se distingue par la promotion active de son logiciel de ransomware multi-plateforme sur le forum cybercriminel russe Ransom Anon Market Place (RAMP). Le logiciel de ransomware de Chaos est compatible avec Windows, ESXi, Linux et les systĂšmes NAS, et se caractĂ©rise par des fonctionnalitĂ©s telles que des clĂ©s de chiffrement individuelles pour chaque fichier, des vitesses de chiffrement rapides, et une capacitĂ© de balayage des ressources rĂ©seau. L’accent est mis sur une encryption rapide et des mesures de sĂ©curitĂ© robustes. ...

24 juillet 2025 Â· 1 min

Fire Ant : Une campagne d'espionnage sophistiquée ciblant les infrastructures critiques

Sygnia, une entreprise spĂ©cialisĂ©e en cybersĂ©curitĂ©, a identifiĂ© un acteur menaçant sophistiquĂ© nommĂ© Fire Ant, liĂ© Ă  la Chine, menant des campagnes d’espionnage contre des organisations d’infrastructures critiques. Fire Ant utilise des mĂ©thodes d’attaque centrĂ©es sur l’infrastructure pour compromettre les hĂŽtes VMware ESXi et les serveurs vCenter, extrayant des identifiants de comptes de service et dĂ©ployant des portes dĂ©robĂ©es persistantes qui survivent aux redĂ©marrages systĂšme. L’acteur contourne la segmentation rĂ©seau en compromettant des appareils rĂ©seau et en Ă©tablissant des tunnels Ă  travers des segments de rĂ©seau via des chemins lĂ©gitimes. Leurs outils et techniques s’alignent Ă©troitement avec UNC3886, exploitant des vulnĂ©rabilitĂ©s spĂ©cifiques de vCenter/ESXi. ...

24 juillet 2025 Â· 1 min

Analyse des attaques sophistiquées de UNC3944 sur VMware vSphere

Cet article de Google Cloud Threat Intelligence dĂ©taille l’attaque sophistiquĂ©e menĂ©e par le groupe de menace UNC3944, qui cible les environnements VMware vSphere dans les secteurs du commerce de dĂ©tail, des compagnies aĂ©riennes et de l’assurance. L’attaque se dĂ©roule en cinq phases : IngĂ©nierie sociale pour compromettre les opĂ©rations du help desk et obtenir les identifiants Active Directory. Prise de contrĂŽle du plan de contrĂŽle vCenter via la manipulation du chargeur de dĂ©marrage GRUB et le dĂ©ploiement de Teleport C2. Vol d’identifiants hors ligne par manipulation de disques VM et exfiltration de NTDS.dit. Sabotage de l’infrastructure de sauvegarde par manipulation de groupes AD. DĂ©ploiement de ransomware au niveau ESXi utilisant vim-cmd et des binaires personnalisĂ©s. Les mesures d’attĂ©nuation techniques recommandĂ©es incluent : ...

23 juillet 2025 Â· 1 min
Derniùre mise à jour le: 7 juillet 2026 📝