Publication De Recherche

Selon l’Atlantic Council (Cyber Statecraft Initiative), la seconde édition 2025 du projet Mythical Beasts met à jour et étend le jeu de données public sur le marché mondial du spyware jusqu’en 2024, en soulignant une récente amende de 168 M$ infligée à NSO Group par un tribunal américain pour des attaques Pegasus contre l’infrastructure WhatsApp. 📈 Données élargies et périmètre: le dataset couvre désormais 561 entités dans 46 pays (1992–2024), avec 130 nouvelles entités (dont 43 créées en 2024). Ajouts notables: 20 investisseurs américains, 7 partenaires identifiés comme revendeurs/brokers, et 3 nouveaux pays (Japon, Malaisie, Panama). Les catégories enrichies incluent individus (55), investisseurs (34), partenaires (18), filiales (7), fournisseurs (10), deux holdings et quatre vendeurs. Par ailleurs, une catégorie « alumni » est introduite pour refléter la série d’entrepreneuriats observée. ...

Source: Objective-See — Le chercheur en sécurité Patrick Wardle publie une analyse montrant une vulnérabilité 0‑day dans les plugins Spotlight de macOS permettant de contourner TCC et d’exfiltrer des données protégées, toujours non corrigée dans macOS Tahoe (26). 🛑 La faille exploite un bug du mécanisme de notifications Darwin identifié depuis 2015. Des plugins Spotlight malveillants, bien que fortement sandboxés, peuvent lire des fichiers protégés par TCC (dont des bases liées à Apple Intelligence et le knowledgeC.db) puis exfiltrer leur contenu en l’encodant dans les noms de notifications Darwin, accessibles à un processus externe à l’écoute. ...

Source : Trend Micro — Dans une publication de recherche sur la sécurité des déploiements Model Context Protocol (MCP), l’éditeur analyse plus de 22 000 dépôts et démontre comment la conteneurisation peut réduire les risques qui pèsent sur les charges de travail IA. L’étude met en évidence des lacunes critiques, notamment des serveurs MCP exposés, une authentification faible, des fuites d’identifiants, ainsi que des risques de chaîne d’approvisionnement liés à des dépôts abandonnés. Elle fournit des recommandations concrètes pour appliquer le moindre privilège, isoler correctement les conteneurs et déployer en sécurité les serveurs MCP afin de protéger les workloads IA contre l’exploitation. ...

Source: Computer Security Group (ETH Zurich) via comsec.ethz.ch — Les chercheurs dévoilent « Phoenix », une nouvelle méthode Rowhammer qui cible des modules DDR5 SK Hynix et contourne des protections in-DRAM modernisées. 🔬 Les auteurs ont rétro‑ingéniéré le mécanisme Target Row Refresh (TRR) des DDR5 SK Hynix et mis en évidence des « angles morts » dans l’échantillonnage des rafraîchissements. Ils montrent que le TRR répète son cycle tous les 128 intervalles tREFI, avec des intervalles faiblement échantillonnés exploitables. Deux motifs d’attaque Rowhammer sont dérivés: un motif court sur 128 tREFI (P128) et un motif long sur 2608 tREFI (P2608), chacun contournant les mitigations sur l’ensemble des 15 DIMMs testés. ...

Selon ESET Research, HybridPetya a été découvert sur la plateforme de partage d’échantillons VirusTotal. L’équipe précise qu’il s’agit d’un imitateur de Petya/NotPetya, sans détection d’activité in-the-wild dans leur télémétrie au moment de la publication. HybridPetya se distingue de NotPetya/Petya en visant les systèmes modernes basés sur UEFI, où il installe une application EFI malveillante dans la partition système EFI (ESP). 💽 L’application UEFI déployée prend ensuite en charge le chiffrement de la Master File Table (MFT) NTFS, un fichier critique contenant les métadonnées de tous les fichiers d’une partition NTFS. ❗ ...

Selon XLab (Qianxin), une analyse approfondie du botnet AISURU met en lumière une infrastructure de menace à très grande échelle, créditée d’attaques DDoS record jusqu’à 11,5 Tbps et d’un parc de plus de 300 000 appareils compromis. L’opération serait pilotée par un trio (« Snow », « Tom », « Forky ») et s’étend au-delà du DDoS vers des services de proxy. Les chercheurs décrivent une compromission à large spectre de routeurs (avec un ciblage marqué des appareils Totolink via des serveurs de mise à jour de firmware compromis) et d’autres équipements comme des DVR, en exploitant de multiples CVE. Le botnet supporte plusieurs vecteurs d’attaque, notamment le UDP flooding, et inclut des fonctions de shell distant. ...

Selon Check Point Research, un nouveau groupe de ransomware nommé « Yurei » a été découvert le 5 septembre, avec une première victime affichée sur son blog clandestin. 🚨 Découverte: Le groupe Yurei (nommé d’après un esprit du folklore japonais) a été identifié le 5 septembre. Il a initialement revendiqué l’attaque d’une entreprise sri-lankaise de fabrication alimentaire. Fonctionnement du blog: Le blog sur le darknet sert à lister les victimes, à publier des preuves de compromission (par exemple des captures d’écran de documents internes) et à offrir une interface de chat sécurisée pour les négociations avec les opérateurs. ...

Source : TrustedSec — Dans une analyse technique, les chercheurs décrivent une méthode d’exploitation de Windows Server Update Services (WSUS) par relais NTLM permettant de capter des identifiants de machines (et parfois d’utilisateurs) et de les relayer vers d’autres services d’entreprise. L’attaque s’appuie sur un attaquant présent sur le réseau local réalisant de l’ARP/DNS spoofing pour intercepter le trafic WSUS. Les communications des clients WSUS sont redirigées vers un listener ntlmrelayx contrôlé par l’attaquant, ce qui expose les flux d’authentification NTLM. ...

Source: Ethiack (blog). Recherche de Bruno Mendes (04/08/2025) détaillant une technique d’injection JavaScript/XSS via pollution de paramètres HTTP en ASP.NET pour contourner des WAF, avec tests sur 17 configurations et essais d’un hackbot autonome. 🧩 Technique et vecteur: la pollution de paramètres HTTP exploite les différences de parsing entre WAF, ASP.NET et navigateur. En ASP.NET, des paramètres duplicés sont concaténés par des virgules (HttpUtility.ParseQueryString), ce qui, combiné à l’opérateur virgule en JavaScript, permet d’assembler un code exécutable sans déclencher des signatures WAF. Exemple: /?q=1’&q=alert(1)&q=‘2 devient 1’,alert(1),‘2 dans une chaîne JS, exécutant alert(1). ...

Selon Binarly Research, une étude sur l’écosystème UEFI met en évidence une faiblesse systémique de Secure Boot: des modules signés, notamment des shells UEFI, peuvent être exploités pour contourner la vérification de signature et exécuter du code non signé au niveau firmware. Découverte clé: plus de 30 shells UEFI signés et approuvés chez de grands OEM créent des vecteurs d’attaque. L’analyse de 4 000 images firmware montre que les plateformes modernes font confiance à environ 1 500 modules signés en moyenne (certaines dépassent 4 000), élargissant fortement la surface d’attaque. Des centaines d’appareils de sept OEM sont concernés. 🔐 ...