Cette anaylyse de réponse d’incident rapporte une attaque de cybersécurité où un acteur malveillant a exploité une vulnérabilité connue (CVE-2023-22527) sur un serveur Confluence exposé à Internet, permettant une exécution de code à distance. Après avoir obtenu cet accès initial, l’attaquant a exécuté une séquence de commandes, incluant l’installation d’AnyDesk, l’ajout d’utilisateurs administrateurs et l’activation de RDP. Ces actions répétées suggèrent l’utilisation de scripts d’automatisation ou d’un playbook. Des outils tels que Mimikatz, ProcessHacker et Impacket Secretsdump ont été utilisés pour récolter des identifiants. L’intrusion a culminé avec le déploiement du ransomware ELPACO-team, une variante de Mimic, environ 62 heures après l’exploitation initiale de Confluence. ...

L’article publié par Consulenza IS Group met en lumière une attaque de cybersécurité survenue à Bologne durant l’été 2023. Un cybercriminel a réussi à contourner l’authentification BLE (Bluetooth Low Energy) des vélos en libre-service de la ville. En utilisant des techniques de reverse engineering, il a créé une application pirate nommée Ride’n Godi. Cette application a été mise à disposition du public avec le code source et les identifiants de déverrouillage des vélos, permettant à quiconque de les utiliser sans autorisation. ...

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd, un magnifique agrégateur de vulnérabilités discutées sur le Fediverse. CVE-2025-4427 Produit : Ivanti Endpoint Manager Mobile Score CVSS : 5.3 (MEDIUM) Poids social : 936.5 (posts: 16, utilisateurs: 14) Description : “Une faille d’authentification dans le composant API de Ivanti Endpoint Manager Mobile 12.5.0.0 et versions antérieures permet aux attaquants d’accéder à des ressources protégées sans les identifiants appropriés via l’API.” Date de publication : 2025-05-13T15:45:35Z Posts Fediverse (16 trouvés) 🗨️ cR0w :cascadia: (infosec.exchange) – 2025-05-13T15:59:30.273000Z @cR0w :cascadia: sur infosec.exchange 🕒 2025-05-13T15:59:30.273000Z Ivanti with one this morning too.https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Neurons-for-ITSM-on-premises-only-CVE-2025-22462?language=en_USsev:CRIT 9.8 - AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/RL:O/MPR:HAn authentication bypass in Ivanti Neurons for ITSM (on-prem o… ...

L’article publié le 18 mai 2025 rapporte une cyberattaque sur la centrale électrique de réserve de gaz située à Birr, en Suisse. Cette attaque a visé spécifiquement un compte mail appartenant à Prismecs, l’opérateur de la centrale. Phishing contre un opérateur énergétique suisse : l’importance d’une communication claire Contexte Début mai 2025, le mail professionnel d’un cadre de Prismecs, opérateur du centrale à gaz de réserve de Birr (AG), a été compromis. Les hackers ont utilisé ce compte pour envoyer des phishing-mails se faisant passer pour le directeur suisse de l’entreprise. ...

L’article publié par G Data relate une mésaventure vécue par Cameron Coward, un Youtubeur connu pour sa chaîne Serial Hobbyism. En testant une imprimante 3D Procolored d’une valeur de 6000 dollars, il a découvert un malware sur le logiciel fourni via une clé USB. Lorsqu’il a connecté la clé USB contenant le logiciel de l’imprimante, son antivirus a détecté un ver se propageant par USB et une infection Floxif. Floxif est un infecteur de fichiers qui s’attache aux fichiers exécutables portables, se propageant ainsi aux partages réseau, aux périphériques amovibles comme les clés USB, ou aux systèmes de sauvegarde. ...

L’article publié sur le site cyberveille.decio.ch le 18 mai 2025, relate la découverte d’un package NPM malveillant nommé os-info-checker-es6. L’enquête a révélé que ce package ne fonctionnait pas comme annoncé, ce qui a conduit les chercheurs à approfondir leur investigation. Les chercheurs ont découvert que le package utilisait des invitations Google malveillantes et des caractères Unicode « Private Use Access » (PUAs) pour obfusquer son code et échapper à la détection. Cette technique ingénieuse a compliqué la tâche des analystes, mais leur persévérance a permis de démasquer la menace. ...

Selon un article de Reuters, les responsables de l’énergie aux États-Unis réévaluent les risques liés aux équipements chinois utilisés dans l’infrastructure des énergies renouvelables après la découverte de dispositifs de communication inexpliqués. Les onduleurs solaires, majoritairement fabriqués en Chine, sont essentiels pour connecter les panneaux solaires et les éoliennes aux réseaux électriques. Bien qu’ils soient conçus pour permettre un accès à distance pour les mises à jour, des pare-feu sont généralement installés pour empêcher toute communication directe avec la Chine. ...

Lors du Pwn2Own Berlin 2025, un événement de hacking se déroulant durant la conférence OffensiveCon, des chercheurs en sécurité ont démontré des exploits de failles zero-day sur divers produits. Nguyen Hoang Thach de STARLabs SG a réalisé un exploit d’overflow d’entier sur VMware ESXi, remportant 150 000 $. Dinh Ho Anh Khoa de Viettel Cyber Security a gagné 100 000 $ en exploitant une chaîne d’exploits combinant un contournement d’authentification et une désérialisation non sécurisée sur Microsoft SharePoint. ...

Selon un article publié le 18 mai 2025, une usine d’Arla Foods située à Upahl, en Allemagne, a été touchée par un incident de cybersécurité. Le géant laitier, propriétaire des marques Lurpak et Castello, a confirmé que des activités suspectes avaient affecté le réseau informatique de la coopérative. En conséquence, Arla Foods a dû mettre en place des mesures de sécurité qui ont perturbé la production à l’usine concernée. La société a déclaré que ses experts en production et en informatique travaillent activement pour rétablir le fonctionnement normal du site. ...

Selon BleepingComputer, les membres de gangs de ransomware utilisent de plus en plus un nouveau malware appelé Skitnet pour mener des activités post-exploitation furtives dans les réseaux compromis. Le malware Skitnet, également connu sous le nom de Bossnet, a été mis en vente sur des forums clandestins tels que RAMP depuis avril 2024. Cependant, les chercheurs de Prodaft ont observé une adoption croissante de ce malware par les gangs de ransomware depuis le début de 2025. ...