Publication De Recherche

Selon PolySwarm, des chercheurs ont analysé ‘Plague’, un backdoor Linux sophistiqué qui s’intègre au flux d’authentification en se faisant passer pour un module PAM légitime, afin de fournir un accès SSH persistant et un contournement de l’authentification. L’échantillon se présente comme libselinux.so.8 et persiste discrètement avec très peu de traces forensiques tout en survivant aux mises à jour système. Le malware exploite des mots de passe statiques pour une entrée clandestine (ex. ‘Mvi4Odm6tld7’ et ‘changeme’), et met en place des capacités de furtivité comme la désactivation de variables SSH et la redirection de l’historique shell (HISTFILE) vers /dev/null. 🐧🔐 ...

Selon Mend (référence: mend.io), une nouvelle voie d’attaque dite slopsquatting exploite la tendance des assistants de codage IA à proposer des dépendances inexistantes, que des attaquants enregistrent ensuite en packages malveillants, créant un risque majeur pour la supply chain logicielle. Un package halluciné a déjà cumulé plus de 30 000 téléchargements. L’étude, menée sur 16 LLMs et 500 000+ prompts, mesure des taux d’hallucination de packages allant de 3,59% (GPT-4 Turbo) à 33%+ (CodeLlama). Les modèles open-source affichent 21,7% en moyenne contre 5,2% pour les modèles commerciaux. Au total, 205 000+ noms de packages hallucinés ont été observés, dont 43% répétés de manière récurrente. ...

Source : Gal Bar Nahum’s Blog — Le 13 août 2025, le chercheur Gal Bar Nahum a dévoilé « MadeYouReset » (CVE‑2025‑8671), une vulnérabilité HTTP/2 de type déni de service qui exploite les mécanismes de contrôle de flux/erreurs du protocole pour contourner les limites de concurrence, en collaboration avec Prof. Anat Bremler‑Barr et Yaniv Harel (Université de Tel-Aviv), avec le soutien partiel d’Imperva. 🛑 Principe clé: MadeYouReset s’appuie sur l’idée de « Rapid Reset » (2023) mais avec un twist: au lieu que le client annule la requête, l’attaquant provoque des erreurs de flux afin que le serveur émette un RST_STREAM après le démarrage d’une requête valide. Comme les flux réinitialisés ne comptent plus dans MAX_CONCURRENT_STREAMS, le serveur poursuit souvent le travail backend (calcul de réponse) malgré la fermeture du flux côté HTTP/2, ce qui permet de créer un nombre non borné de travaux concurrents et d’induire un DoS. ...

Source : Trustwave (SpiderLabs Blog). Dans cette publication, des chercheurs présentent une méthodologie complète pour analyser le malware SnakeKeylogger et élaborer des signatures de détection efficaces. Ils montrent comment le code malveillant contourne des règles existantes en encodant en Base64 des données exfiltrées via SMTP, et proposent un flux de travail pratique pour collecter des IOC et affiner continuellement les signatures. 🔬 Comportement réseau et évasion : l’analyse met en évidence des connexions vers des IP malveillantes sur les ports 80, 443 et 587, et l’usage de l’encodage Base64 dans le trafic SMTP afin de contourner les règles de détection. ...

Source et contexte: Cisco Talos Blog publie une analyse d’« UAT-7237 », un groupe APT sinophone actif depuis au moins 2022 et présentant de fortes similitudes avec « UAT-5918 ». L’équipe décrit une intrusion récente contre un fournisseur d’hébergement web à Taïwan, avec un fort objectif de persistance à long terme et un outillage majoritairement open source, personnalisé pour l’évasion. Principales tactiques et objectifs 🎯: Le groupe obtient l’accès initial en exploitant des vulnérabilités connues sur des serveurs exposés, effectue une reconnaissance rapide (nslookup, systeminfo, ping, ipconfig) et s’appuie sur des LOLBins et des outils WMI (SharpWMI, WMICmd) pour l’exécution distante et la prolifération. La persistance et l’accès se font surtout via SoftEther VPN et RDP, avec un déploiement de web shells très sélectif. UAT-7237 privilégie Cobalt Strike comme implant, au contraire de UAT-5918 qui use surtout de Meterpreter et multiplie les web shells. L’acteur cible notamment les accès VPN et l’infrastructure cloud de la victime. ...

Selon Trend Micro (publication de recherche), les opérateurs du ransomware Crypto24 mènent des attaques coordonnées et furtives contre des organisations de haut profil en Asie, en Europe et aux États-Unis, avec un focus sur les services financiers, la fabrication, le divertissement et la technologie. Les acteurs combinent des outils légitimes comme PSExec et AnyDesk avec des composants personnalisés, opèrent durant les heures creuses, et adoptent une approche en plusieurs étapes: escalade de privilèges, mouvement latéral, surveillance persistante via keylogger, exfiltration de données, puis déploiement de ransomware après désactivation des solutions de sécurité. ...

Selon Embrace The Red, un chercheur en sécurité a mis au jour plusieurs vulnérabilités critiques d’exfiltration de données affectant Google Jules, un agent IA de codage asynchrone, démontrant un enchaînement de type « lethal trifecta »: injection de prompt → confused deputy → invocation automatique d’outils. 🚨 Principaux vecteurs d’attaque mis en évidence: Rendu d’images Markdown: ajout de données sensibles à des URLs tierces lors du rendu, permettant l’exfiltration via requêtes sortantes. Abus de l’outil view_text_website: utilisation de la fonction pour exfiltrer des données vers des serveurs contrôlés par l’attaquant. Exécution de code à distance (RCE) avec accès Internet non restreint. Le chercheur explique que l’architecture multi‑agents de Jules, où un agent planificateur principal coordonne des agents « workers » à forts privilèges, est au cœur de l’exposition: des attaques ciblant le planificateur peuvent contourner les contrôles « human‑in‑the‑loop », sans nécessiter les capacités des workers. ...

Source: Proofpoint — Contexte: des chercheurs détaillent une méthode de downgrade de l’authentification FIDO permettant de contourner des comptes protégés par passkeys/FIDO2, en ciblant Microsoft Entra ID au sein d’un scénario Adversary-in-the-Middle (AiTM); aucune exploitation observée à ce jour dans la nature, mais le risque est jugé significatif. Avant FIDO, les kits AiTM interceptaient identifiants et tokens MFA via des proxys inversés (Evilginx, EvilProxy, Tycoon), massifiés par le PhaaS. Les phishlets classiques, conçus pour voler mots de passe et contourner des MFA non résistants au phishing, échouent généralement face à FIDO, d’où l’intérêt d’un phishlet dédié au downgrade. ...

Source : VulnCheck — Des chercheurs analysent une chaîne de vulnérabilités critiques affectant ScriptCase, permettant une exécution de code à distance (RCE) sans authentification. Malgré des correctifs disponibles et des exploits publics, des centaines d’instances demeurent exposées et des acteurs malveillants scannent activement Internet. Vulnérabilités: CVE-2025-47227 (réinitialisation de mot de passe non authentifiée via fixation de session et contournement de captcha) et CVE-2025-47228 (injection de commandes dans la fonctionnalité de test de connexion SSH au sein d’une bibliothèque ADOdb modifiée). 🔥 ...

Contexte: Présenté à Black Hat USA, l’article rapporte la découverte par des chercheurs d’un nouveau lot de vulnérabilités dans le protocole Terrestrial Trunked Radio (TETRA), regroupées sous le nom 2TETRA:2BURST. Les failles identifiées affectent notamment le mécanisme propriétaire de chiffrement de bout en bout (E2EE) de TETRA. Elles l’exposent à des attaques par relecture et force brute, et permettraient même de déchiffrer du trafic chifré. Points clés: Vulnérabilités: ensemble de failles nommé « 2TETRA:2BURST » Technologie concernée: protocole de radiocommunications TETRA Impact: exposition de l’E2EE à des attaques de relecture et de force brute, avec possibilité de décryptage du trafic Contexte de divulgation: présentation à Black Hat USA TTPs mentionnées: ...