Global

Cet article de Google Cloud Threat Intelligence détaille l’attaque sophistiquée menée par le groupe de menace UNC3944, qui cible les environnements VMware vSphere dans les secteurs du commerce de détail, des compagnies aériennes et de l’assurance. L’attaque se déroule en cinq phases : Ingénierie sociale pour compromettre les opérations du help desk et obtenir les identifiants Active Directory. Prise de contrôle du plan de contrôle vCenter via la manipulation du chargeur de démarrage GRUB et le déploiement de Teleport C2. Vol d’identifiants hors ligne par manipulation de disques VM et exfiltration de NTDS.dit. Sabotage de l’infrastructure de sauvegarde par manipulation de groupes AD. Déploiement de ransomware au niveau ESXi utilisant vim-cmd et des binaires personnalisés. Les mesures d’atténuation techniques recommandées incluent : ...

L’article publié sur le blog de Google Cloud traite des risques de sécurité critiques dans les environnements VMware vSphere intégrés avec Microsoft Active Directory. L’analyse met en lumière comment des pratiques de configuration courantes peuvent créer des chemins d’attaque pour des ransomwares et compromettre l’infrastructure. Elle souligne que l’agent Likewise, utilisé pour l’intégration AD, manque de support MFA et de méthodes d’authentification modernes, transformant ainsi un compromis de crédentiel en scénario de prise de contrôle de l’hyperviseur. ...

Les chercheurs de Cofense ont identifié une campagne de phishing sophistiquée qui imite des problèmes de connexion à des réunions Zoom pour voler les identifiants des utilisateurs. L’attaque utilise des emails jouant sur l’urgence, prétendant qu’une réunion d’urgence est nécessaire, et redirige les utilisateurs via plusieurs URL de suivi vers une fausse interface Zoom. Les identifiants sont récoltés lorsque les victimes tentent de « rejoindre » à nouveau la réunion. ...

Bleeping Computer rapporte que le package NPM populaire nommé ‘is’ a été victime d’une attaque de la chaîne d’approvisionnement. Cette attaque a permis l’injection d’un malware avec une porte dérobée, offrant aux attaquants un accès complet aux appareils compromis. Le package ‘is’, largement utilisé dans de nombreux projets, a été modifié pour inclure un code malveillant. Ce type d’attaque est particulièrement préoccupant car il touche la chaîne d’approvisionnement logicielle, rendant potentiellement vulnérables tous les projets et systèmes utilisant ce package. ...

L’article publié par Coveware met en lumière une évolution significative dans les opérations de ransomware, qui passent de simples attaques opportunistes à des campagnes de social engineering hautement ciblées. Trois groupes majeurs, Scattered Spider, Silent Ransom, et Shiny Hunters, illustrent cette tendance en se concentrant sur des secteurs spécifiques et en utilisant des attaques sophistiquées basées sur l’identité. Les paiements moyens de rançon ont doublé au deuxième trimestre 2025, atteignant plus de 1,1 million de dollars, bien que le taux global de paiement reste faible à 26%. La disparition des modèles traditionnels de RaaS a conduit à une victimologie plus ciblée, avec un risque accru pour les grandes entreprises, les acteurs malveillants investissant davantage de ressources dans un nombre réduit de cibles de haute valeur. ...

L’article de bleepingcomputer.com rapporte que l’opération de malware Lumma infostealer reprend progressivement ses activités après une importante opération de police en mai, qui a conduit à la saisie de 2 300 domaines et de parties de son infrastructure. Malgré une perturbation significative de la plateforme malware-as-a-service (MaaS) Lumma, les opérateurs ont rapidement reconnu la situation sur les forums XSS, affirmant que leur serveur central n’avait pas été saisi, bien qu’il ait été effacé à distance. ...

L’article de bleepingcomputer.com rapporte un incident survenu sur npm, la plus grande plateforme de registre de logiciels pour JavaScript et Node.js, où le package Stylus a été accidentellement retiré. Stylus, une bibliothèque légitime largement utilisée avec 3 millions de téléchargements hebdomadaires, a été remplacée par une page de “sécurité en attente”, une mesure habituellement réservée aux packages malveillants. Ce retrait a causé des interruptions dans les pipelines et les builds à travers le monde qui dépendent de Stylus. ...

L’article de Reuters rapporte une faille critique dans le logiciel SharePoint de Microsoft, identifiée lors d’une compétition de hacking en mai. Cette vulnérabilité a été partiellement corrigée par Microsoft, mais la première solution n’a pas suffi à empêcher une campagne mondiale de cyberespionnage. Au cours du week-end, environ 100 organisations ont été compromises, et l’attaque pourrait s’étendre à mesure que d’autres hackers s’y intéressent. Microsoft a publié de nouvelles mises à jour pour résoudre le problème. ...

L’article publié sur le site de Varonis décrit une chaîne d’exploit nommée ToolShell qui cible les serveurs SharePoint sur site. Cette attaque combine trois vulnérabilités (CVE-2025-49706, CVE-2025-53770, CVE-2025-49704) pour réaliser une exécution de code à distance sans authentification. Les versions de SharePoint 2016 et antérieures sont particulièrement vulnérables, bien que des correctifs soient disponibles pour les versions plus récentes. Le processus d’attaque implique l’envoi de requêtes HTTP spécialement conçues pour contourner l’authentification, l’utilisation d’une capacité d’écriture de fichier arbitraire pour déposer des web shells malveillants, et l’extraction de clés cryptographiques pour générer des charges utiles _VIEWSTATE valides. Ces charges utiles permettent des attaques de désérialisation conduisant à l’exécution de commandes PowerShell. ...

Datadog Security Research a découvert que le groupe de menace Mimo a considérablement évolué, passant de l’attaque de Craft CMS à Magento, une plateforme de commerce électronique, en exploitant des vulnérabilités PHP-FPM. Mimo utilise des mécanismes de persistance sophistiqués avec GSocket, des techniques d’évasion avancées basées sur la mémoire via les appels système memfd_create(), et une infrastructure de commande et de contrôle à plusieurs niveaux. Le groupe monétise les systèmes compromis par le cryptojacking et le proxyjacking, ce qui démontre une sophistication opérationnelle accrue. ...