Analyse Technique

L’article publié par l’Unité 42 de Palo Alto Networks met en lumière l’évolution rapide des stratégies d’attaque des acteurs malveillants grâce à l’intégration de l’intelligence artificielle (IA). Cette évolution modifie fondamentalement la vitesse, l’échelle et la sophistication des cyberattaques, dépassant les méthodes traditionnelles de détection et de réponse. Selon le rapport Global Incident Response 2025 de Unit 42, l’un des changements les plus alarmants est la réduction drastique du temps moyen d’exfiltration des données (MTTE), qui est passé de neuf jours en 2021 à seulement deux jours en 2024. Dans 20 % des cas, l’exfiltration se produit en moins d’une heure, démontrant l’efficacité accrue des attaques alimentées par l’IA. ...

L’article relate un événement important dans le domaine de la cybersécurité où le code source de l’opération VanHelsing ransomware-as-a-service (RaaS) a été rendu public. Cette publication fait suite à une tentative par un ancien développeur de vendre le code sur le forum cybercriminel RAMP. VanHelsing, une opération RaaS lancée en mars 2025, s’est distinguée par sa capacité à cibler divers systèmes, notamment Windows, Linux, BSD, ARM, et ESXi. La publication inclut le code source pour le panneau d’affiliation, le blog de fuite de données, et le générateur de chiffrement pour Windows. ...

Cette anaylyse de réponse d’incident rapporte une attaque de cybersécurité où un acteur malveillant a exploité une vulnérabilité connue (CVE-2023-22527) sur un serveur Confluence exposé à Internet, permettant une exécution de code à distance. Après avoir obtenu cet accès initial, l’attaquant a exécuté une séquence de commandes, incluant l’installation d’AnyDesk, l’ajout d’utilisateurs administrateurs et l’activation de RDP. Ces actions répétées suggèrent l’utilisation de scripts d’automatisation ou d’un playbook. Des outils tels que Mimikatz, ProcessHacker et Impacket Secretsdump ont été utilisés pour récolter des identifiants. L’intrusion a culminé avec le déploiement du ransomware ELPACO-team, une variante de Mimic, environ 62 heures après l’exploitation initiale de Confluence. ...

L’article publié par Consulenza IS Group met en lumière une attaque de cybersécurité survenue à Bologne durant l’été 2023. Un cybercriminel a réussi à contourner l’authentification BLE (Bluetooth Low Energy) des vélos en libre-service de la ville. En utilisant des techniques de reverse engineering, il a créé une application pirate nommée Ride’n Godi. Cette application a été mise à disposition du public avec le code source et les identifiants de déverrouillage des vélos, permettant à quiconque de les utiliser sans autorisation. ...

L’article publié par G Data relate une mésaventure vécue par Cameron Coward, un Youtubeur connu pour sa chaîne Serial Hobbyism. En testant une imprimante 3D Procolored d’une valeur de 6000 dollars, il a découvert un malware sur le logiciel fourni via une clé USB. Lorsqu’il a connecté la clé USB contenant le logiciel de l’imprimante, son antivirus a détecté un ver se propageant par USB et une infection Floxif. Floxif est un infecteur de fichiers qui s’attache aux fichiers exécutables portables, se propageant ainsi aux partages réseau, aux périphériques amovibles comme les clés USB, ou aux systèmes de sauvegarde. ...

L’article publié par watchTowr met en lumière de nouvelles vulnérabilités découvertes dans la solution Ivanti Endpoint Manager Mobile (EPMM), un outil de gestion des appareils mobiles utilisé par les administrateurs systèmes. Ivanti EPMM est conçu pour permettre aux administrateurs de gérer et installer des logiciels sur les appareils au sein d’une organisation, avec l’objectif d’empêcher l’installation de malwares et de contrôler l’utilisation des appareils. L’article souligne l’importance de cette découverte en comparant les solutions MDM à des frameworks de commande et contrôle (C2) pour entreprises. Cela signifie qu’une compromission de ce type de solution pourrait permettre à un attaquant de déployer des logiciels malveillants à grande échelle sur les appareils des employés, illustrant ainsi un risque majeur pour les entreprises. ...

En mai 2025, une publication de la société Starlabs révèle une vulnérabilité critique dans Visual Studio Code (VS Code version <= 1.89.1) qui permet une escalade d’un bug XSS en exécution de code à distance (RCE), même en mode restreint. VS Code, qui fonctionne sur Electron, utilise des processus de rendu en bac à sable communiquant avec le processus principal via le mécanisme IPC d’Electron. La faille réside dans le mode de rendu minimal des erreurs récemment introduit pour les notebooks Jupyter, permettant l’exécution de code JavaScript arbitraire dans le WebView de l’application VS Code pour le rendu des notebooks. ...

🔍 Ce billet est un résumé technique en français du rapport publié par Synacktiv le 13 mai 2025, intitulé “Open-source toolset of an Ivanti CSA attacker”. Il analyse en détail trois outils open-source découverts lors d’enquêtes IR sur des compromissions d’appliances Ivanti CSA, utilisés par des attaquants pour maintenir un accès, pivoter latéralement et exécuter du code à distance. 🛠️ Analyse : Outils open-source utilisés dans les compromissions Ivanti CSA Suite à plusieurs compromissions impliquant les appliances Ivanti CSA, les équipes de réponse à incident de Synacktiv ont identifié l’utilisation d’outils open-source offensifs par les attaquants. Ce billet analyse trois d’entre eux, leurs fonctionnalités, et propose des méthodes de détection. ...

L’actualité provient d’un rapport publié par l’Office of the Australian Information Commissioner (OAIC), qui met en lumière une augmentation significative de 25% des violations de données. Ce rapport souligne que les attaques malveillantes sont à l’origine de cette hausse. Les secteurs les plus touchés par ces violations sont ceux de la santé et des finances, deux domaines particulièrement sensibles en raison de la nature des données qu’ils traitent. Ces secteurs ont vu une augmentation notable des incidents de sécurité, ce qui soulève des préoccupations quant à la protection des informations personnelles. ...

L’article met en lumière une vulnérabilité critique identifiée dans macOS Sequoia 15.5, référencée sous le code CVE-2025-31250. Cette faille permettait à une application malveillante de manipuler les demandes de consentement de macOS, en faisant apparaître un prompt comme provenant d’une application différente de celle qui recevrait effectivement le consentement de l’utilisateur. Cela était possible en envoyant des messages XPC spécialement conçus au daemon tccd, qui gère le système de permissions TCC d’Apple. ...