Analyse De Menace

Source et contexte: Rubrik Zero Labs publie une analyse intitulée Unmasking the Invisible: Hunting and Defeating EDR-Evading Threats Like BRICKSTORM, soulignant que les EDR traditionnels ne tournent pas (ou ne peuvent pas) sur des appliances telles que VMware vCenter Server Appliance (VCSA) et d’autres équipements réseau Linux/BSD — une surface dont des acteurs malveillants tirent parti. 🔍 L’article met en avant des règles YARA signées par Google Threat Intelligence Group (GTIG) pour identifier le backdoor BRICKSTORM. Les règles référencées incluent G_APT_Backdoor_BRICKSTORM_3, G_Backdoor_BRICKSTORM_2, G_APT_Backdoor_BRICKSTORM_1 et G_APT_Backdoor_BRICKSTORM_2, avec des conditions ciblant des binaires ELF (vérifications de magie ELF comme 0x464c457f / 0x7F454C46) et des motifs d’obfuscation/décryptage. ...

Selon Picus Security, CABINETRAT est un malware Windows utilisé dans des campagnes d’espionnage et financières, attribuées aux opérations UAC-0245, visant principalement des organisations ukrainiennes, notamment dans les secteurs gouvernementaux et télécoms. L’objectif est de maintenir un accès durable pour la surveillance et l’exfiltration de données. Le vecteur initial s’appuie sur des fichiers XLL Excel malveillants se faisant passer pour des documents légitimes, permettant l’exécution de shellcode. La persistance est assurée via plusieurs mécanismes: clés de registre Run (HKCU\Software\Microsoft\Windows\CurrentVersion\Run), dossier Démarrage et tâches planifiées. ...

Selon PolySwarm (blog), ClayRAT est une campagne de spyware Android sophistiquée ciblant des utilisateurs en Russie, identifiée par Zimperium zLabs. En trois mois, plus de 600 échantillons ont été observés. La distribution s’appuie sur des canaux Telegram et des sites de phishing impersonnant des apps populaires comme WhatsApp et YouTube, avec des preuves sociales fabriquées pour crédibiliser les campagnes. Le malware abuse du rôle d’application SMS par défaut pour accéder discrètement aux SMS, journaux d’appels, notifications et effectuer des opérations de messagerie sans sollicitation de l’utilisateur. Il supporte des commandes à distance permettant l’exfiltration de données (SMS, logs d’appels, notifications, infos appareil), la capture caméra et le déclenchement d’appels/SMS. ...

Selon BleepingComputer, une nouvelle campagne malveillante cible les développeurs macOS en usurpant des plateformes populaires (Homebrew, LogMeIn et TradingView) afin de diffuser des malwares voleurs d’informations. La campagne repose sur l’usurpation de sites/plateformes légitimes (Homebrew, LogMeIn, TradingView) qui servent de leurre pour amener les victimes à installer des logiciels compromis. Les charges utiles identifiées incluent des infostealers tels que AMOS (Atomic macOS Stealer) et Odyssey. Les cibles explicitement mentionnées sont les développeurs macOS, attirés par des outils ou plateformes familiers et largement utilisés dans leurs activités. ...

Selon BleepingComputer, des cybercriminels exploitent TikTok pour diffuser des vidéos se présentant comme des « guides d’activation gratuits » de logiciels populaires, afin d’y dissimuler et propager des malwares voleurs d’informations. • Leurre principal : des tutoriels d’activation gratuits pour Windows, Spotify et Netflix. • Canal de diffusion : TikTok est utilisé comme vecteur pour attirer les victimes via des contenus prétendument légitimes. • Charge malveillante : un malware voleur d’informations (information stealer) est propagé à partir de ces contenus. ...

Selon l’Information Technology - Information Sharing and Analysis Center (IT-ISAC), l’activité ransomware a atteint 1 417 attaques au T3 2025, avec une concentration sur les secteurs Manufacturier critique, Installations commerciales et Technologies de l’information. 📈 Contexte et tendance: après une forte hausse en 2024 sur le second semestre (de 503 au T2 à 931 au T3, puis 1 537 au T4), 2025 montre un schéma similaire. Les deux premiers trimestres 2025 ont reculé de 1 537 (T1) à 1 288 (T2), avant de repartir à 1 417 (T3), suggérant une reprise de la dynamique en fin d’année. ...

Selon iVerify, HyperRat est un nouveau cheval de Troie d’accès à distance (RAT) pour Android vendu en modèle malware-as-a-service (MaaS) sur des forums russophones, avec une infrastructure gérée, un panneau web et un builder d’APK, illustrant la maturation du marché MaaS mobile. 🐀📱 Le malware fournit un panneau de contrôle web (en russe) gérant des appareils infectés via des IDs de « workers », et un générateur d’APK permettant de configurer nom et icône de l’application. Ses capacités incluent l’interception SMS/appels, le suivi GPS, le contrôle VNC de l’écran, l’injection d’overlays de phishing (WebView), l’icône masquée, le contournement de l’optimisation de batterie, le mode proxy SOCKS5 et l’intégration C2 via bot Telegram. ...

Selon l’article de analyst1, en septembre 2025, un opérateur de ransomware se présentant comme « Devman » a partagé un lien vers une nouvelle plateforme de Ransomware-as-a-Service (RaaS) quelques jours avant son lancement public. L’auteur décrit que « Devman » avait travaillé en solo pendant des mois sur du code DragonForce modifié, avant de formaliser une marque et de recruter des affiliés pour opérer en modèle RaaS. 🧩 Le timing est présenté comme inhabituel: quelques semaines auparavant, « Devman » affirmait quitter son équipe ransomware pour des raisons personnelles. Au lieu de se retirer, il a construit davantage d’infrastructure, lancé un programme d’affiliation et s’est positionné comme opérateur RaaS. 🔄 ...

Selon Picus Security, ce billet d’analyse présente un panorama actualisé du groupe Lazarus (APT38/Hidden Cobra), ses cibles, ses opérations marquantes et ses techniques avancées d’attaque. Lazarus est décrit comme un acteur étatique nord-coréen actif depuis 2009, menant simultanément de l’espionnage, du vol financier et des attaques destructrices à l’échelle mondiale. Les opérations notables citées incluent Sony Pictures (2014), la fraude SWIFT de la Bangladesh Bank (81 M$, 2016) et l’épidémie de ransomware WannaCry (2017). Les secteurs visés comprennent la finance, les gouvernements, la santé, la défense et les cryptomonnaies. ...

Source: Microsoft (Microsoft Digital Defense Report). Contexte: Bilan des incidents étudiés par les équipes sécurité de Microsoft, avec une analyse signée par le CISO Igor Tsyganskiy. • Principaux constats: dans 80% des incidents analysés, les attaquants ont cherché à voler des données 🔐. Plus de la moitié des attaques dont le mobile est connu sont liées à l’extorsion ou au ransomware, soit au moins 52% motivées par le gain financier 💰, tandis que les attaques d’espionnage ne représentent que 4%. ...