Global

🔍 Contexte Publié le 22 mars 2026 sur GitHub par InfinityCurveLabs, ce dépôt présente vm-filesystem, un module de bytecode Firebeam conçu pour interagir avec le système de fichiers distant dans le cadre du framework offensif Havoc. ⚙️ Fonctionnement technique Le module repose sur deux mécanismes principaux : Monkey-patching Python : remplacement dynamique des méthodes utilisées par le File Browser de Havoc pour émettre des tâches vers l’agent, substituées par l’interprétation et l’exécution de bytecode Firebeam équivalent. Machine virtuelle Firebeam : exécution de bytecode permettant des opérations sur le système de fichiers sans nécessiter l’intégration du filesystem dans l’agent lui-même. 🛠️ Capacités exposées Les opérations supportées incluent : ...

🧩 Contexte Publié le 22 mars 2026 sur le dépôt GitHub de BishopFox, le projet Wasm Stager est un toolkit offensif open-source conçu pour la recherche en sécurité offensive. Il exploite le standard WebAssembly System Interface (WASI) pour créer un outil d’accès distant multiplateforme. 🏗️ Architecture Le toolkit se compose de deux composants principaux : Stager : un runtime WASI qui charge et exécute le module implant avec une intégration système complète Implant : un module Wasm compatible Sliver, offrant des capacités de shell distant et de reconnaissance système ⚙️ Fonctionnement technique Le stager est configuré à la compilation avec les paramètres suivants : ...

🔍 Contexte Source : BleepingComputer, publié le 21 mars 2026. L’article rapporte l’abus d’un service légitime de Microsoft à des fins de phishing. ⚠️ Technique d’attaque Des campagnes de callback phishing (phishing par rappel téléphonique) exploitent les alertes Microsoft Azure Monitor pour envoyer des emails malveillants. Ces emails se font passer pour des avertissements officiels de la Microsoft Security Team, signalant de prétendus frais non autorisés sur le compte de la victime. ...

Trend Micro publie une analyse technique approfondie du ransomware Agenda, couvrant ses variantes multiplateformes, ses techniques d’attaque avancées et ses alliances avec d’autres groupes criminels. 🎯 Contexte Source : Trend Micro (publication du 21 mars 2026). Cette analyse technique détaillée porte sur le ransomware Agenda (aussi connu sous d’autres noms), décrit comme l’une des opérations ransomware les plus prolifiques et dangereuses, avec des variantes en Go, Rust et Linux, et des alliances avec d’autres groupes de menaces majeurs. ...

Team Cymru a découvert un répertoire ouvert sur un serveur Beast Ransomware exposant l’intégralité de la chaîne d’attaque des opérateurs, de la reconnaissance à l’exfiltration. 🔍 Contexte En mars 2026, Team Cymru a publié une analyse technique détaillée d’un serveur appartenant aux opérateurs du ransomware Beast, découvert via leur système de collecte NetFlow et Open Ports. L’adresse IP 5.78.84.144 hébergée chez Hetzner (AS212317) exposait un répertoire ouvert sur le port 8000 contenant l’ensemble de la boîte à outils des attaquants. ...

🗓️ Contexte Article publié par SecurityWeek le 16 mars 2026, couvrant les suites de la campagne d’attaque ciblant les clients d’Oracle E-Business Suite (EBS), revendiquée par le groupe Cl0p. 🎯 Nature de l’attaque Le groupe Cl0p a exploité des vulnérabilités zero-day dans Oracle E-Business Suite pour accéder aux données stockées par des organisations clientes, puis a utilisé ces données à des fins d’extorsion. La communauté cybersécurité associe cette opération au cluster FIN11, qui serait le moteur opérationnel derrière la marque publique Cl0p. ...

📅 Source : BleepingComputer — publié le 21 mars 2026 🔍 Contexte Google a annoncé l’introduction d’un nouveau mécanisme dans Android nommé Advanced Flow, destiné à encadrer le sideloading d’APK (installation d’applications hors Play Store) provenant de développeurs non vérifiés. ⚙️ Détails de la fonctionnalité Advanced Flow est conçu pour les utilisateurs avancés (power users) souhaitant installer des applications depuis des sources tierces non vérifiées. L’objectif est de permettre cette pratique de manière plus sécurisée, en ajoutant un flux de contrôle supplémentaire lors du processus d’installation. 📌 Type d’article Il s’agit d’une annonce de mise à jour produit par Google concernant une évolution de sécurité dans le système d’exploitation Android. Le but principal est d’informer sur une nouvelle fonctionnalité de sécurité visant à réduire les risques liés au sideloading d’applications. ...

Amazon Threat Intelligence a découvert qu’Interlock ransomware exploitait CVE-2026-20131 dans Cisco Secure Firewall Management Center comme zero-day depuis le 26 janvier 2026, soit 36 jours avant la divulgation publique. 🔍 Contexte Le 21 mars 2026, Amazon Threat Intelligence a publié sur le blog de sécurité AWS une analyse technique détaillée d’une campagne active du groupe Interlock ransomware exploitant CVE-2026-20131, une vulnérabilité critique dans Cisco Secure Firewall Management Center (FMC) Software. ...

Le groupe ransomware LeakNet ajoute ClickFix via des sites légitimes compromis et un loader Deno en mémoire comme nouvelles méthodes d’accès initial, tout en conservant une chaîne post-exploitation identique. 🔍 Contexte Publié le 21 mars 2026 par ReliaQuest (auteurs : Joseph Keyes et Daxton Wirth), ce rapport de threat intelligence analyse les évolutions tactiques du groupe ransomware LeakNet, qui intensifie ses opérations en adoptant de nouvelles méthodes d’accès initial. 🎯 Nouvelles méthodes d’accès initial LeakNet a ajouté deux nouvelles techniques à son arsenal : ...

🔐 Correctif d’urgence Oracle – CVE-2026-21992 Source : BleepingComputer | Date de publication : 21 mars 2026 Oracle a publié une mise à jour de sécurité hors-bande (out-of-band), en dehors de son cycle habituel de correctifs trimestriels, pour adresser une vulnérabilité critique affectant deux de ses produits. 🎯 Produits affectés Oracle Identity Manager Oracle Web Services Manager 🚨 Nature de la vulnérabilité La faille, référencée CVE-2026-21992, est classifiée comme une vulnérabilité d’exécution de code à distance (RCE) non authentifiée, ce qui signifie qu’un attaquant peut l’exploiter sans disposer d’identifiants valides sur le système cible. La criticité de cette faille justifie la publication d’un correctif d’urgence en dehors du calendrier standard. ...