Rapport D'incident

Source: The DFIR Report (30 sept. 2025). Contexte: incident survenu en mai 2024, démarré par l’exécution d’un JavaScript Latrodectus 1.3 déguisé en formulaire fiscal W‑9, menant au déploiement de Brute Ratel puis Cobalt Strike, et à une présence quasi continue durant près de deux mois. • Chaîne d’intrusion: un JS fortement obfusqué télécharge un MSI qui lance un DLL Brute Ratel (via rundll32), lequel injecte Latrodectus dans explorer.exe et établit des C2 (souvent derrière Cloudflare). Le stealer Latrodectus est récupéré, puis, ~1 h après l’accès initial, début de la reconnaissance (ipconfig, systeminfo, nltest, whoami). ~6 h après, mise en place d’un BackConnect/VNC opérationnel pour navigation, dépôts d’outils et contrôle à distance. ...

TechCrunch rapporte qu’une faille de sécurité dans l’app iOS Neon — une application virale qui enregistre les appels et rémunère les utilisateurs pour entraîner des modèles d’IA — a permis à « tout utilisateur connecté » d’accéder aux numéros de téléphone, enregistrements audio et transcriptions d’autres comptes. L’app, qui figurait parmi le top 5 des téléchargements gratuits sur iPhone et cumulait des milliers d’utilisateurs (dont 75 000 téléchargements en une journée), a été mise hors ligne après l’alerte des journalistes. ...

Selon Acronis (rubrique Threats and Vulnerabilities), un ransomware a visé la plateforme MUSE de Collins Aerospace, entraînant des perturbations majeures dans plusieurs aéroports européens, et a été formellement reconnu par RTX Corporation dans un dépôt à la SEC. • Faits marquants: un ransomware a touché la plateforme de traitement passagers ARINC MUSE, utilisée pour le partage de comptoirs, bornes et portes d’embarquement. Les aéroports de Heathrow, Bruxelles, Berlin et Dublin ont dû revenir à des procédures manuelles, provoquant retards et annulations. Un suspect a été arrêté au Royaume‑Uni puis libéré sous caution. Le variant du ransomware et le vecteur d’attaque restent non confirmés. RTX a apporté la première reconnaissance officielle de l’incident via une déclaration à la SEC. ✈️ ...

Source: Microsoft Security Blog — Microsoft décrit l’intervention de son équipe DART pour contenir deux cyberattaques sophistiquées ciblant des organisations du secteur retail. Les assaillants ont exploité des vulnérabilités SharePoint (CVE-2025-49706, CVE-2025-49704) pour déposer des web shells ASPX, conduisant à de la spoofing d’identité et de l’injection de code à distance. L’objectif opérationnel incluait la prise de contrôle d’identités et la persistance dans l’environnement cible. ⚠️ Pour maintenir la présence malveillante, les acteurs ont utilisé Azure Virtual Desktop, RDP, PsExec et des outils de proxy/tunneling comme Teleport et Rsocx, signe d’un enchaînement TTPs visant mobilité latérale et évasion. 🧭 ...

Selon un avis de la CISA, des acteurs malveillants ont exploité la vulnérabilité CVE-2024-36401 dans des instances GeoServer d’une agence fédérale américaine, tirant parti d’une injection d’eval pour l’accès initial avant de se déplacer latéralement vers des serveurs web et SQL. L’incident n’a été détecté qu’après trois semaines, à la suite d’alertes EDR signalant des téléversements de fichiers suspects sur le serveur SQL. 🚨 Constats clés rapportés par la CISA: ...

Selon GitHub Blog (Xavier René‑Corail, 22 septembre 2025), l’écosystème open source a subi une vague de prises de contrôle de comptes sur des registres de paquets, dont npm, culminant avec une attaque baptisée Shai‑Hulud ciblant la chaîne d’approvisionnement JavaScript. 🚨 Incident: le 14 septembre 2025, Shai‑Hulud a infecté l’écosystème npm via des comptes mainteneurs compromis, en injectant des scripts post‑install malveillants dans des paquets populaires. Le ver était auto‑réplicant et capable de voler plusieurs types de secrets (pas uniquement des jetons npm), ce qui aurait pu permettre des attaques en continu sans l’intervention rapide de GitHub et de mainteneurs open source. ...

Selon BleepingComputer, Stellantis a confirmé qu’un incident de sécurité a conduit au vol de données concernant une partie de ses clients en Amérique du Nord, à la suite d’un accès par des attaquants à la plateforme d’un prestataire tiers. Faits clés ⚠️ Nature de l’incident : vol de données. Vecteur : accès à la plateforme d’un fournisseur tiers. Périmètre impacté : clients nord-américains de Stellantis. L’article indique que l’accès initial s’est fait via un prestataire tiers, ce qui a permis aux attaquants de subtiliser certaines données clients. Aucune information supplémentaire n’est fournie dans l’extrait sur l’ampleur exacte de la compromission ou la nature précise des données. ...

Selon BleepingComputer, Google a confirmé que des cybercriminels ont réussi à créer un compte frauduleux dans son Law Enforcement Request System (LERS), la plateforme utilisée par les forces de l’ordre pour soumettre des demandes officielles de données à l’entreprise. Le cœur de l’affaire porte sur l’usurpation/création illégitime d’un compte au sein d’un système sensible servant d’interface entre Google et les autorités, ce qui soulève des préoccupations quant à l’intégrité des canaux de demande de données. ...

Source: DataBreaches.net (15 septembre 2025, auteur: Dissent). Contexte: après la révélation d’une exfiltration touchant des marques de Kering, le média publie de nouveaux éléments contredisant une partie de la communication officielle du groupe. Les faits: ShinyHunters affirme avoir acquis des données clients via deux attaques liées à Salesforce: plus de 43 M d’enregistrements (Gucci) et près de 13 M pour Balenciaga, Brioni, Alexander McQueen combinés. Les échantillons fournis à DataBreaches paraissent légitimes et ne contiennent pas d’informations financières (cartes, comptes) selon leur examen. ...

Selon BleepingComputer, Google a confirmé qu’un compte frauduleux avait été créé dans sa plateforme Law Enforcement Request System (LERS), utilisée par les forces de l’ordre pour soumettre des demandes légales. Le compte a été désactivé et, selon Google, aucune requête n’a été transmise et aucune donnée n’a été consultée via ce compte. Le FBI a décliné tout commentaire alors qu’un groupe se présentant comme « Scattered Lapsus$ Hunters » affirme avoir accédé à la fois à LERS et au système eCheck du FBI, en publiant des captures d’écran de cet accès. ...