Publication De Recherche

Selon Trellix (Advanced Research Center), une campagne cible Linux via un vecteur inédit: un nom de fichier piégé dans une archive RAR qui déclenche l’exécution Bash lors d’opérations de scripts non sécurisées (eval/echo/printf). L’analyse technique détaille une chaîne fileless, multi‑étapes, aboutissant au backdoor VShell exécuté en mémoire et masqué en processus noyau. • Étapes clés de l’infection 🐧 Vecteur initial (spam + .rar): un e‑mail appât renferme une archive contenant un fichier dont le nom embarque du Bash encodé Base64. L’extraction seule ne l’exécute pas; l’exécution survient lorsque des scripts manipulent les noms de fichiers sans sanitisation (ex: for f in *, eval “echo $f”, find/xargs avec eval…). Stage 1 (déclencheur): le nom de fichier évalue un downloader Bash (via curl/wget) vers le C2 47.98.194.60. Stage 2 (downloader): détermine l’architecture (x86, x64, ARM, ARM64), télécharge un ELF adapté, et l’exécute silencieusement avec nohup via plusieurs chemins de repli. Stage 3 (loader ELF): contacte le C2, reçoit une charge XOR 0x99, la décrypte en mémoire puis l’exécute avec fexecve(), tout en se déguisant en thread noyau « [kworker/0:2] » et en évitant la ré‑infection via un marqueur (/tmp/log_de.log). L’étape initiale est alignée sur l’activité du dropper Snowlight (abus de noms de fichiers + exécution Bash). • Charge finale: VShell (backdoor Go) 🕵️‍♂️ ...

Source: Mandiant Threat Defense — Publication de recherche détaillant une campagne multi‑étapes d’« access‑as‑a‑service » aboutissant au déploiement du backdoor CORNFLAKE.V3. Le groupe UNC5518 utilise des pages CAPTCHA factices pour piéger les utilisateurs et fournir l’accès initial à d’autres acteurs. Cet accès est ensuite exploité par UNC5774 pour installer CORNFLAKE.V3, une porte dérobée disponible en variantes JavaScript (Node.js) et PHP. Le malware permet persistance, reconnaissance et exécution de charges, notamment des outils de collecte d’identifiants et d’autres backdoors. ...

Selon Ashes Cybersecurity (billet de recherche du 21 août 2025), une vulnérabilité 0‑day dans le pilote kernel « elastic-endpoint-driver.sys » d’Elastic EDR permettrait une chaîne d’attaque complète aboutissant à un bypass EDR, de la RCE, de la persistance et un DoS privilégié provoquant un BSOD sur les hôtes protégés. Le chercheur décrit une chaîne en quatre étapes: 1) contournement d’Elastic Agent/Elastic Defend via un loader C maison, 2) exécution de code à faible privilège sans détection, 3) persistance par chargement d’un pilote personnalisé interagissant avec « elastic-endpoint-driver.sys », 4) DoS persistant où le pilote d’Elastic adopte un comportement de type malveillant et peut rendre le système inutilisable 🚫. ...

Source et contexte: Recherche publiée par Marek Tóth (présentée à DEF CON 33), initialement le 9 août 2025 et mise à jour le 20 août 2025, portant sur une nouvelle technique de clickjacking ciblant les interfaces injectées par des extensions de navigateur. La recherche décrit une nouvelle technique générale de DOM-based Extension Clickjacking: un script malveillant rend invisibles (opacity/pointer-events/overlays/Popover API) les éléments d’UI injectés par les extensions dans le DOM, tout en restant cliquables. Testée sur 11 gestionnaires de mots de passe, la méthode a montré que tous étaient vulnérables à ce type d’attaque (et certains aussi à la variante IFRAME via web_accessible_resources mal configurés). ...

Source: Cybernews (18.08.2025). Des chercheurs de Cybernews ont découvert des vulnérabilités critiques dans l’implémentation du chatbot IA « Lena » de Lenovo (propulsé par GPT‑4), permettant des attaques de type Cross‑Site Scripting (XSS) déclenchées par un simple prompt et pouvant mener au vol de cookies de session, à l’exécution de scripts non autorisés sur des machines de l’entreprise et potentiellement à une compromission de la plateforme de support client. ⚠️ Points clés: les failles proviennent d’une sanitisation insuffisante des entrées utilisateur et des sorties du chatbot, de l’absence de vérification par le serveur web du contenu produit par le chatbot, de l’exécution de code non vérifié et du chargement de ressources web arbitraires. Cybernews a divulgué de manière responsable; Lenovo a accusé réception et a protégé ses systèmes. ...

Source et contexte: Publication de recherche présentée au 34e USENIX Security Symposium (USENIX Security ’25), par des chercheurs de Northeastern University, portant sur les risques de sécurité et de vie privée de l’écosystème eSIM et de la Remote SIM Provisioning (RSP). • Constat général: L’adoption des eSIM (notamment pour les voyages) introduit de nouveaux risques liés au routage des données, au rôle des revendeurs, aux communications proactives STK et au contrôle du cycle de vie des profils. Les auteurs mènent des mesures empiriques (traceroute/IP, analyse de tableaux de bord revendeurs, capture STK via sysmoEUICC1 + SIMtrace2, tests en réseau LTE privé) et publient leurs jeux de données. ...

Selon Kudelski Security (blog de recherche), un enchaînement de failles dans l’intégration de Rubocop par CodeRabbit a permis d’obtenir une exécution de code à distance (RCE) sur des serveurs de production, d’exfiltrer de nombreux secrets (dont la clé privée du GitHub App CodeRabbit) et, par ricochet, d’accéder en lecture/écriture à des dépôts GitHub installés (jusqu’à 1 M de dépôts). Les correctifs ont été déployés rapidement en janvier 2025, notamment la désactivation puis l’isolation de Rubocop. ...

Source: NIST (NISTIR 8584, août 2025). Le rapport « FATE MORPH Part 4B: Considerations for Implementing Morph Detection in Operations » de Mei Ngan et Patrick Grother fournit des lignes directrices pour intégrer la détection de morphing facial dans des environnements opérationnels (émission de documents d’identité, contrôle aux frontières), en s’appuyant sur les évaluations publiques FATE MORPH et l’état de l’art des approches S‑MAD (single-image) et D‑MAD (différentielle). Le document rappelle la menace: des photos morphed peuvent permettre à plusieurs personnes d’utiliser un même titre (ex. passeport), surtout lorsque les photos sont auto‑soumisses et leur historique numérique est inconnu. Il souligne que l’amélioration des performances des détecteurs permet désormais aux agences de mettre en balance capacités, coûts de détection manquée et coûts opérationnels des faux positifs. ...

Un rapport de recherche (août 2025) publié par le CNA (Center for Naval Analyses un organisation indépendante à but non lucratif americain), examine le rôle d’entreprises privées russes de cybersécurité dans l’écosystème « cyber » du pays depuis l’invasion de l’Ukraine, avec des études de cas sur Kaspersky, Security Code et Positive Technologies. Le rapport décrit un « web cyber » russe complexe et opaque, mêlant agences d’État (FSB, SVR, GRU) et acteurs non étatiques (entreprises privées, cybercriminels cooptés, développeurs, « hackers patriotiques »). Le Kremlin coerce, incite ou sous-traite pour des objectifs offensifs, défensifs, éducatifs et de recrutement, en cherchant à renforcer ses capacités tout en conservant une négation plausible. 🧩 ...

Source: Free and Open Communications on the Internet (FOCI) 2025 – étude académique d’ASU/Citizen Lab/Bowdoin. Contexte: les auteurs analysent la transparence d’ownership et la sécurité de VPN Android très téléchargés, en identifiant des « familles » d’opérateurs dissimulés. • L’étude regroupe trois familles de fournisseurs (A, B, C) totalisant plus de 700 millions de téléchargements sur Google Play. Elle confirme et étend des travaux de VPNPro et Tech Transparency Project reliant des marques comme Innovative Connecting, Autumn Breeze, Lemon Clove et d’autres à Qihoo 360 (sanctionné par le gouvernement américain en 2020), avec des structures d’ownership obfusquées (souvent présentées comme basées à Singapour). ...