Selon WatchTowr Labs, une vulnérabilité critique CVE-2025-25256 affecte FortiSIEM (versions 5.4 à 7.3.1), permettant une injection de commandes pré-authentification via le composant phMonitor exposé sur le port 7900, avec un risque de compromission complète du SIEM. Le problème réside dans l’usage non sûr de ShellCmd::addParaSafe dans la fonction handleStorageArchiveRequest du binaire C++ phMonitor. Des payloads XML malveillants peuvent injecter des commandes dans les champs archive_nfs_server_ip ou archive_nfs_archive_dir, lorsque archive_storage_type est défini sur « nfs » et que les deux paramètres (IP et répertoire) sont fournis. ...

Selon aicyberchallenge.com, la finale du DARPA AI Cyber Challenge (AIxCC), menée avec l’ARPA-H et des laboratoires de pointe, a sacré Team Atlanta, démontrant la capacité de systèmes autonomes d’IA à sécuriser des logiciels open source au cœur des infrastructures critiques. 🏆 Résultats et ouverture: Team Atlanta (Georgia Tech, Samsung Research, KAIST, POSTECH) remporte la compétition, devant Trail of Bits (2e) et Theori (3e). Quatre des sept cyber reasoning systems (CRS) développés sont publiés en open source, afin d’accélérer l’adoption par les défenseurs. La DARPA et l’ARPA-H ajoutent 1,4 M$ pour encourager l’intégration de ces technologies dans des logiciels pertinents pour les infrastructures critiques. ...

Selon KrebsOnSecurity, des groupes cybercriminels ont délaissé le vol d’identifiants de wallets mobiles pour exploiter des comptes de courtage via des campagnes de phishing sophistiquées, afin de mener des opérations de manipulation boursière « ramp and dump ». Les victimes se retrouvent avec des positions sans valeur, tandis que les attaquants profitent de la hausse artificielle des cours. 🎣 Le chaîne d’attaque démarre par des SMS/iMessage usurpant des plateformes de courtage et redirigeant vers des sites de collecte d’identifiants qui capturent identifiants, mots de passe et codes OTP par SMS. Les comptes compromis servent ensuite à acheter massivement des actions ciblées (souvent des IPO chinoises ou penny stocks) depuis de multiples comptes victimes afin de faire monter les prix, avant de revendre rapidement. ...

Selon Pixm Security, la première moitié d’août a vu une nette hausse des campagnes malveillantes visant des utilisateurs Microsoft, avec des techniques variées et plus agressives. Les chercheurs rapportent une augmentation majeure des arnaques de support Microsoft qui recourent au verrouillage du clavier et à d’autres procédés destinés à pousser les victimes à appeler des centres d’appels ciblés ☎️. Au-delà du support scam, d’autres attaques de phishing Microsoft ont utilisé un fingerprinting agressif des appareils, des tactiques de relais d’authentification multifacteur (MFA) 🔐, ainsi que des livraisons via des invitations d’événements et des fichiers PDF 📄. ...

Huntress — Le fournisseur a publié un rapport décrivant un incident impliquant le ransomware KawaLocker (KAWA4096), une variante apparue en juin 2025, dont l’attaque a été détectée et contenue avant un impact organisationnel étendu. Le scénario débute par une compromission RDP via un compte compromis. Les attaquants déploient des utilitaires pour désactiver les outils de sécurité (notamment kill.exe et HRSword) et chargent des drivers noyau (sysdiag.sys et hrwfpdr.sys de Beijing Huorong Network Technology). Une énumération réseau est menée avec advancedportscanner.exe, suivie de tentatives de mouvement latéral via PsExec. ...

Selon un communiqué publié à partir du 14 août 2025, l’opérateur de télécommunications Colt a détecté un incident de cybersécurité affectant un système interne distinct de l’infrastructure de ses clients. L’entreprise indique avoir pris des mesures de protection immédiates pour sécuriser ses clients, ses collaborateurs et son activité, et avoir notifié proactivement les autorités compétentes. Elle précise que le système touché est séparé de l’infrastructure clients. Dans le cadre de ces mesures, certains systèmes ont été mis hors ligne de manière proactive, ce qui a entraîné des perturbations sur une partie des services de support fournis aux clients. ⚠️ ...

Source: JPCERT/CC — L’analyse couvre des incidents observés entre septembre et décembre 2024, montrant l’usage de CrossC2 pour générer des Beacons Cobalt Strike sur Linux/macOS, accompagnés d’un loader Nim (ReadNimeLoader) et d’autres outils offensifs, avec des indices d’une campagne active au Japon et dans d’autres pays. • CrossC2 (Beacon non officiel): compatible Cobalt Strike ≥ 4.1, ciblant Linux (x86/x64) et macOS (x86/x64/M1). À l’exécution, le binaire fork et le processus enfant gère la logique. Le C2 est lu dans la configuration (décryptée en AES128‑CBC) et peut aussi être défini via les variables d’environnement CCHOST/CCPORT. Le binaire contient de nombreux anti‑analyses (chaînes XOR mono‑octet, injections de junk code faciles à neutraliser en NOP sur une séquence d’octets donnée). Le builder public sur GitHub crée des Beacons packés UPX; pour les unpacker, il faut d’abord retirer le bloc de configuration en fin de fichier, puis le réinsérer après UPX. ...

Selon CYFIRMA, ce rapport détaille un malware bancaire Android sophistiqué, nommé Lazarus Stealer, qui se dissimule sous le nom “GiftFlipSoft” pour cibler des applications bancaires russes tout en restant invisible pour l’utilisateur. L’outil vole des numéros de carte, codes PIN et identifiants via des attaques par superposition (overlay) et l’interception des SMS. Le malware exploite des permissions Android à haut risque — RECEIVE_SMS, SYSTEM_ALERT_WINDOW, PACKAGE_USAGE_STATS — afin d’assurer sa persistance et de surveiller l’activité des apps bancaires. Il se définit comme application SMS par défaut pour détourner les OTP, utilise WindowManager pour afficher des interfaces de phishing au-dessus des apps légitimes, maintient une communication C2 continue via HTTP POST, et s’appuie sur des services au premier plan (AppMonitorService, SMSForwardService) pour un monitoring persistant. Il intègre aussi un chargement dynamique de WebView permettant la livraison de contenus contrôlés par l’opérateur. 📱⚠️ ...

NIST a publié un “concept paper” présentant les « Control Overlays for Securing AI Systems » (COSAIS), une série de lignes directrices basées sur SP 800‑53 pour renforcer la cybersécurité des systèmes d’IA, et sollicite des retours de la communauté. Le document explique que, bien que les systèmes d’IA soient majoritairement logiciels, ils posent des défis de sécurité distincts. Les overlays SP 800‑53 visent à adapter et prioriser des contrôles existants pour des contextes IA spécifiques, en protégeant en priorité la confidentialité, l’intégrité et la disponibilité (CIA) des informations. Ils tirent parti de la familiarité des organisations avec SP 800‑53, tout en permettant une personnalisation (sélection, modification, compléments, paramètres) selon les risques et environnements. ...

Source et contexte: RISCS (Research Institute for Sociotechnical Cyber Security) publie une analyse d’Andrew Dwyer sur la deuxième conférence du Pall Mall Process (Paris, avril 2025), initiative lancée en 2024 par le Royaume‑Uni et la France pour freiner la prolifération et l’usage irresponsable des capacités d’intrusion commerciales (CCICs). Le texte rappelle que les CCICs (de la découverte de zero-days à la vente d’outils et services) alimentent à la fois des usages légitimes et illégitimes. Si l’attention médiatique s’est concentrée sur le spyware (ex. Pegasus/NSO Group), l’écosystème est plus large et rend les interdictions totales irréalistes, d’autant que de nombreux États n’ont pas de capacités « in‑house ». ...