Analyse Technique

Source: Elliptic (blog) — Dans un guide orienté « Security Operations », Elliptic présente des cadres pratiques pour aider les enquêteurs gouvernementaux à conduire des investigations sur les cryptomonnaies, en s’appuyant sur la transparence des blockchains. Le document met en avant deux approches complémentaires: l’enquête par relations (analyse des connexions entre portefeuilles) et le suivi chronologique (traquer des transactions illicites spécifiques dans le temps). Il insiste sur une démarche systématique plutôt que sur des compétences techniques avancées, et sur le caractère traçable et pérenne des journaux blockchain exploitable par les forces de l’ordre. ...

Source: G DATA CyberDefense (blog) — Analyse technique signée Karsten Hahn et Louis Sorita. Contexte: des sites très bien référencés poussent un faux éditeur PDF « AppSuite » dont le composant principal embarque un backdoor complet. Les opérateurs diffusent un installeur MSI (WiX) qui déploie une application Electron se présentant comme un éditeur PDF. Le code principal (pdfeditor.js) est fortement obfusqué et contient le backdoor; l’interface n’est qu’une fenêtre navigateur vers un site contrôlé. Un user-agent spécifique est requis pour afficher l’outil. ...

Cette analyse de Kaspersky (securelist) examine en profondeur le rôle des cookies de navigateur comme composants de sécurité et montre comment les cookies de session contenant des Session IDs deviennent des cibles majeures. Le contenu couvre les types de cookies, les exigences de conformité (GDPR, CCPA, LGPD), et comment une mauvaise gestion peut exposer des identifiants d’authentification et des données personnelles. L’étude détaille plusieurs vecteurs d’attaque : session hijacking, XSS, CSRF, et man-in-the-middle. Sur le plan technique, elle décrit la capture de session via HTTP non chiffré, le vol de cookies par injection JavaScript malveillante (XSS), la session fixation avec des Session IDs prédéfinis, ainsi que le cookie tossing exploitant des vulnérabilités de sous-domaine. ...

Source : Microsoft Threat Intelligence. Dans une analyse technique, Microsoft décrit PipeMagic, un backdoor hautement modulaire attribué à l’acteur financier Storm-2460, observé dans des chaînes d’attaque exploitant la vulnérabilité d’élévation de privilèges Windows CLFS CVE-2025-29824 pour déployer du ransomware, avec des cibles dans l’IT, la finance et l’immobilier aux États-Unis, en Europe, en Amérique du Sud et au Moyen-Orient. 🧩 Architecture et furtivité. PipeMagic se fait passer pour une application ChatGPT Desktop open source trojanisée. Il charge dynamiquement des modules, maintient une communication C2 via un module réseau dédié et orchestre ses capacités via des listes doublement chaînées distinctes (payload, execute, network, unknown). L’IPC chiffrée via named pipes et la modularité rendent détection et analyse plus difficiles. ...

Source: JPCERT/CC — L’analyse couvre des incidents observés entre septembre et décembre 2024, montrant l’usage de CrossC2 pour générer des Beacons Cobalt Strike sur Linux/macOS, accompagnés d’un loader Nim (ReadNimeLoader) et d’autres outils offensifs, avec des indices d’une campagne active au Japon et dans d’autres pays. • CrossC2 (Beacon non officiel): compatible Cobalt Strike ≥ 4.1, ciblant Linux (x86/x64) et macOS (x86/x64/M1). À l’exécution, le binaire fork et le processus enfant gère la logique. Le C2 est lu dans la configuration (décryptée en AES128‑CBC) et peut aussi être défini via les variables d’environnement CCHOST/CCPORT. Le binaire contient de nombreux anti‑analyses (chaînes XOR mono‑octet, injections de junk code faciles à neutraliser en NOP sur une séquence d’octets donnée). Le builder public sur GitHub crée des Beacons packés UPX; pour les unpacker, il faut d’abord retirer le bloc de configuration en fin de fichier, puis le réinsérer après UPX. ...

Source : Elcomsoft Blog — Dans un guide détaillé orienté forensique et réponse à incident, l’article explique l’exploitation de la base Windows SRUM pour retracer l’activité utilisateur et réseau sur une fenêtre glissante de 30 jours. 🔎 SRUM conserve des historiques sur l’usage d’applications et l’activité réseau utiles pour reconstruire des chronologies lors d’incidents. L’article présente ses capacités, ses limites et des méthodes pratiques d’accès/analyses adaptées aux enquêtes numériques. 🗂️ Sur le plan technique, la base SRUDB.dat repose sur le format ESE (Extensible Storage Engine) et journalise notamment : lancements de processus, connexions réseau, CPU, I/O disque, consommation énergétique. Les enregistrements incluent des noms de processus, emplacements de fichiers, comptes d’exécution, horodatages, ainsi que des métadonnées réseau (adresses IP, ports). ...

Selon GuidePoint Security (blog), la prompt injection reste le risque de sécurité n°1 pour les modèles de langage (LLM), car ceux-ci ne distinguent pas de façon fiable les instructions système des entrées utilisateur dans une même fenêtre de contexte. Sur le plan technique, les attaques tirent parti du traitement token-based dans un contexte unifié où instructions système et requêtes utilisateur sont traitées de manière équivalente. Cette faiblesse structurelle permet de détourner le comportement de l’IA. ...

Source: CrowdStrike (blog) — Dans un billet technique, CrowdStrike met en lumière un problème clé de l’IA appliquée à la cybersécurité: la fuite d’information entre ensembles d’entraînement et de test qui gonfle artificiellement les performances des modèles. Le cœur du problème présenté est la train‑test leakage lorsque des observations corrélées (événements liés au même arbre de processus, scripts similaires, ou provenant de la même machine) sont réparties aléatoirement entre train et test. Cette pratique crée des attentes de performance irréalistes et peut conduire à des échecs face à des menaces inédites en production. ...

Selon The Register, dans le cadre de la conférence Black Hat, Microsoft pousse l’abandon des mots de passe au profit de la biométrie Windows Hello, mais des chercheurs sponsorisés par le gouvernement allemand ont découvert une faille critique dans son implémentation en entreprise. La vulnérabilité permettrait à un administrateur malveillant — ou à un compte admin compromis — d’injecter de nouveaux scans faciaux dans le système Windows Hello. 🔓 Les éléments concernés sont la biométrie Windows Hello et spécifiquement son implémentation pour les environnements d’entreprise. ...

Selon un article publié par BleepingComputer, le ransomware Akira a été observé en train d’utiliser un pilote de tuning de CPU légitime d’Intel pour désactiver Microsoft Defender sur les machines ciblées. Cette technique permet aux attaquants de contourner les outils de sécurité et les solutions de détection et de réponse des endpoints (EDR). Cette exploitation implique l’utilisation d’un pilote qui, bien que légitime, est détourné pour désactiver les protections de sécurité, rendant ainsi les systèmes plus vulnérables aux attaques. Les acteurs malveillants tirent parti de cette méthode pour faciliter la propagation de leur ransomware et maximiser l’impact de leurs attaques. ...