LockBit 5.0 cible Windows, Linux et ESXi avec obfuscation avancĂ©e et contournement d’ETW

Selon PolySwarm, cette analyse dĂ©taille l’évolution de LockBit 5.0, un rançongiciel plus sophistiquĂ© et multi‑plateforme qui vise des environnements Windows, Linux et VMware ESXi avec des techniques avancĂ©es d’obfuscation et d’anti‑analyse. LockBit 5.0 prĂ©sente une architecture cross‑plateforme permettant des attaques unifiĂ©es Ă  l’échelle de l’entreprise. La variante ESXi est jugĂ©e particuliĂšrement prĂ©occupante car elle peut compromettre des infrastructures de virtualisation entiĂšres. Le code partage des similaritĂ©s avec LockBit 4.0, confirmant une Ă©volution itĂ©rative, et le malware intĂšgre des « garde‑fous gĂ©opolitiques ». 🧬 ...

13 octobre 2025 Â· 2 min

Oracle publie un correctif d’urgence pour une faille E-Business Suite exploitable à distance

Selon BleepingComputer Source : BleepingComputer (Sergiu Gatlan), Oracle a publiĂ© ce week-end une mise Ă  jour de sĂ©curitĂ© d’urgence pour corriger une vulnĂ©rabilitĂ© affectant Oracle E‑Business Suite (EBS). Oracle a diffusĂ© ce week-end un correctif de sĂ©curitĂ© d’urgence pour une nouvelle vulnĂ©rabilitĂ© critique affectant sa suite E-Business Suite (EBS), pouvant ĂȘtre exploitĂ©e Ă  distance sans authentification. La faille, identifiĂ©e sous le code CVE-2025-61884, touche les versions 12.2.3 Ă  12.2.14 du composant Runtime UI et permettrait Ă  des attaquants non authentifiĂ©s de voler des donnĂ©es sensibles via Internet. ...

13 octobre 2025 Â· 2 min

Scattered Lapsus$ Hunters lance des extorsions de vol de données ciblant les clients Salesforce

Selon Unit 42 (Palo Alto Networks), le conglomĂ©rat « Scattered Lapsus$ Hunters » — incluant Muddled Libra, Bling Libra et des acteurs LAPSUS$ — mĂšne des campagnes coordonnĂ©es d’extorsion basĂ©es sur le vol de donnĂ©es contre des clients Salesforce, tout en poursuivant ses activitĂ©s malgrĂ© la saisie par le FBI de domaines liĂ©s Ă  BreachForums. ‱ Menaces et opĂ©rations: Les acteurs ciblent des plateformes cloud, notamment des locataires Salesforce et des environnements AWS, pour exfiltrer des donnĂ©es clients sans dĂ©ployer de chiffrement ni de ransomware, privilĂ©giant une extorsion par vol de donnĂ©es. Bling Libra a lancĂ© un modĂšle Extortion-as-a-Service (EaaS) avec une commission de 25–30% sur les paiements, et opĂšre un DLS (data leak site) listant 39 organisations. Le groupe collabore avec de nouveaux collectifs, dont Crimson Collective. ...

13 octobre 2025 Â· 2 min

Analyse du web shell PHP « Shin » : capacitĂ©s post‑exploitation et techniques d’évasion

Selon Truesec, cette seconde partie d’analyse examine en profondeur le web shell PHP « Shin », identifiĂ© lors d’une rĂ©ponse Ă  incident, et met en Ă©vidence ses fonctions de compromission avancĂ©es et ses techniques d’évasion. L’outil, attribuĂ© Ă  un auteur indonĂ©sien, offre des capacitĂ©s complĂštes de post‑exploitation : navigation du systĂšme de fichiers, exĂ©cution de commandes, manipulation/Ă©dition de fichiers, modification des permissions, tĂ©lĂ©versement de fichiers, et accĂšs/gestion de bases de donnĂ©es via Adminer. Les paramĂštres sont URL‑encodĂ©s et peu obfusquĂ©s, laissant des traces dans les journaux du serveur. ...

10 octobre 2025 Â· 2 min

Campagne ClickFix: cache smuggling via cache du navigateur sous couvert d’un outil Fortinet

Source: Expel (blog threat intelligence) — analyse de Marcus Hutchins. Contexte: observation d’une variante de ClickFix exploitant le cache du navigateur pour dĂ©poser un ZIP malveillant, tout en se faisant passer pour un vĂ©rificateur de conformitĂ© Fortinet. 🎣 Leurre et procĂ©dĂ© ClickFix: la page de phishing brandĂ©e Fortinet affiche un faux chemin \\Public\Support\VPN\ForticlientCompliance.exe. Un clic copie en rĂ©alitĂ© une commande beaucoup plus longue, remplie d’espaces pour masquer la partie malveillante. CollĂ©e dans la barre d’adresse de l’Explorateur, elle lance conhost.exe --headless puis PowerShell en arriĂšre-plan, la portion visible n’étant qu’un commentaire. ...

10 octobre 2025 Â· 3 min

Campagne Stealit : abus de Node.js SEA pour livrer un RAT voleur d’infos sur Windows

Selon FortiGuard Labs (Fortinet), une nouvelle campagne de malware Stealit exploite la fonctionnalitĂ© Node.js Single Executable Application (SEA) pour empaqueter et diffuser des charges utiles sous forme de binaires autonomes, dans le but d’échapper Ă  la dĂ©tection. La menace est distribuĂ©e via de faux installateurs de jeux et de VPN sur des plateformes de partage de fichiers 🎼. Stealit opĂšre comme un RAT commercial (malware-as-a-service) proposĂ© par abonnement, offrant des capacitĂ©s de vol de donnĂ©es, accĂšs Ă  distance, contrĂŽle de la webcam et dĂ©ploiement de ransomware 🐀. La campagne cible les systĂšmes Windows et maintient la persistance via des scripts Visual Basic. ...

10 octobre 2025 Â· 2 min

Coalition cybercriminelle exploite des identifiants AWS exposés aprÚs la fuite Red Hat

Selon un billet rĂ©fĂ©rencĂ© de GitGuardian, plusieurs organisations criminelles ont formĂ© une coalition pour mener des attaques cloud systĂ©matiques visant des identifiants exposĂ©s, notamment AWS, avec des campagnes d’extorsion orchestrĂ©es via une nouvelle plateforme de fuites. — Aperçu gĂ©nĂ©ral — Des groupes comme Crimson Collective, ShinyHunters et Scattered Lapsus$ Hunters coordonnent des opĂ©rations d’extorsion et d’intrusion cloud. La campagne s’appuie sur des identifiants AWS comme vecteurs d’accĂšs initiaux, exploitant la prolifĂ©ration de secrets (secrets sprawl), en particulier dans les cabinets de conseil servant de points d’agrĂ©gation d’identifiants. Le contexte inclut la fuite Red Hat exposant 570 Go issus de 28 000 dĂ©pĂŽts et affectant 800+ organisations, alimentant une exploitation en chaĂźne via un nouveau site de leaks. â˜ïžđŸ” — MĂ©thodologie d’attaque (TTPs) — ...

10 octobre 2025 Â· 2 min

Crimson Collective: nouveau groupe ciblant AWS pour l’exfiltration et l’extorsion

Source: Rapid7 Labs — Rapid7 prĂ©sente l’observation d’un nouveau groupe de menace, « Crimson Collective », actif contre des environnements AWS avec un objectif d’exfiltration de donnĂ©es suivie d’extorsion. Le groupe revendique notamment une attaque contre Red Hat, affirmant avoir dĂ©robĂ© des dĂ©pĂŽts GitLab privĂ©s. 🚹 Nature de l’attaque: le groupe exploite des clĂ©s d’accĂšs long-terme AWS divulguĂ©es, s’authentifie (via l’UA TruffleHog), puis tente d’établir une persistance en crĂ©ant des utilisateurs IAM et des clĂ©s d’accĂšs. Lorsque possible, il attache la politique AdministratorAccess pour obtenir un contrĂŽle total. Dans les comptes moins privilĂ©giĂ©s, il teste l’étendue des permissions via SimulatePrincipalPolicy. ...

10 octobre 2025 Â· 3 min

CVE-2025-3600 : unsafe reflection dans Telerik UI for ASP.NET AJAX expose Ă  du DoS et potentielle RCE

Source: watchTowr Labs — Publication de recherche dĂ©taillant CVE-2025-3600, une vulnĂ©rabilitĂ© d’unsafe reflection dans Progress Telerik UI for ASP.NET AJAX, et ses vecteurs d’exploitation potentiels dans des environnements .NET variĂ©s. ‱ VulnĂ©rabilitĂ© et portĂ©e. La faille CVE-2025-3600 affecte les versions de Telerik UI for ASP.NET AJAX de 2011.2.712 Ă  2025.1.218. Elle permet l’instanciation arbitraire de types .NET via une seule requĂȘte HTTP, exposant des applications d’entreprise, des plateformes SaaS et des solutions custom. Les auteurs estiment ~185 000+ instances potentiellement vulnĂ©rables identifiĂ©es lors d’une reconnaissance initiale. ...

10 octobre 2025 Â· 2 min

CVE-2025-49844 : RCE critique dans le moteur Lua de Redis (CVSS 10.0), correctifs disponibles

Source: Horizon3.ai — Contexte: publication d’un rĂ©sumĂ© exĂ©cutif et technique sur CVE-2025-49844 affectant Redis. ‱ La faille CVE-2025-49844 est une vulnĂ©rabilitĂ© critique d’exĂ©cution de code Ă  distance (RCE) dans le moteur de scripts Lua de Redis, notĂ©e CVSS 10.0. Elle permet Ă  des utilisateurs authentifiĂ©s d’exĂ©cuter du code arbitraire via des scripts Lua spĂ©cialement conçus manipulant le collecteur de dĂ©chets (garbage collector). Bien que l’exploitation nĂ©cessite des identifiants valides, de nombreuses instances Redis fonctionnent sans authentification par dĂ©faut, ce qui Ă©largit considĂ©rablement la surface d’attaque. Redis a divulguĂ© la faille le 3 octobre 2025 et des correctifs sont disponibles pour plusieurs versions. Aucune exploitation active n’a Ă©tĂ© observĂ©e, mais les organisations sont incitĂ©es Ă  mettre Ă  niveau immĂ©diatement. ...

10 octobre 2025 Â· 2 min
Derniùre mise à jour le: 8 juillet 2026 📝