Silent Push cartographie l’abus des fournisseurs de DNS dynamique et suit 70 000 domaines

Source: Silent Push — Dans une publication de recherche du 26 septembre 2025, l’équipe Threat Intelligence de Silent Push analyse l’usage abusif des fournisseurs de sous‑domaines (« Dynamic DNS ») et annonce des exports de donnĂ©es pour suivre plus de 70 000 domaines qui louent des sous‑domaines. ‱ PortĂ©e et objectif: Silent Push a compilĂ© des exports exclusifs permettant aux organisations de surveiller en temps rĂ©el les domaines louant des sous‑domaines, souvent exploitĂ©s par des acteurs malveillants. L’objectif est d’aider Ă  dĂ©tecter, alerter, ou bloquer les connexions vers ces hĂŽtes selon la tolĂ©rance au risque. Les exports et les flux IOFA (Indicators Of Future Attack) sont disponibles pour les clients Enterprise. ...

30 septembre 2025 Â· 2 min

Unit 42 révÚle « Phantom Taurus », un APT chinois utilisant la suite .NET NET-STAR pour backdoorer des serveurs IIS

Selon Unit 42 (Palo Alto Networks), cette recherche dĂ©taille un nouvel acteur Ă©tatique chinois, « Phantom Taurus », menant des opĂ©rations d’espionnage sur le long terme contre des organisations gouvernementales et des tĂ©lĂ©coms en Afrique, au Moyen-Orient et en Asie. L’enquĂȘte (sur plus de deux ans et demi) dĂ©crit l’évolution du groupe : passage d’un vol de donnĂ©es centrĂ© sur l’email Ă  un ciblage direct des bases de donnĂ©es. Les objectifs observĂ©s s’alignent avec des intĂ©rĂȘts stratĂ©giques de la RPC, notamment les communications diplomatiques, le renseignement de dĂ©fense et des opĂ©rations gouvernementales critiques, avec une activitĂ© corrĂ©lĂ©e Ă  d’importants Ă©vĂ©nements gĂ©opolitiques. ...

30 septembre 2025 Â· 3 min

Vague d’intrusions via SonicWall SSL VPN menant Ă  Akira, liĂ©e Ă  CVE‑2024‑40766

Selon Arctic Wolf Labs, depuis fin juillet 2025, une hausse d’intrusions impliquant des connexions suspectes aux SonicWall SSL VPN est observĂ©e, rapidement suivies de scans rĂ©seau, d’activitĂ© SMB via Impacket et du dĂ©ploiement du ransomware Akira. SonicWall relie ces connexions malveillantes Ă  la vulnĂ©rabilitĂ© CVE‑2024‑40766 (improper access control), laissant penser Ă  une rĂ©utilisation d’identifiants rĂ©coltĂ©s sur des appareils auparavant vulnĂ©rables, mĂȘme aprĂšs correctif. L’infrastructure de la campagne a encore Ă©voluĂ© au 20 septembre 2025. ...

30 septembre 2025 Â· 2 min

Vulnérabilité critique (score 10/10) : Fortra critiquée pour son silence sur une possible exploitation

Selon The Record, une vulnĂ©rabilitĂ© Ă©valuĂ©e au score maximal 10/10 🚹 suscite une forte inquiĂ©tude parmi les experts en cybersĂ©curitĂ©. DLa CISA a ordonnĂ© Ă  toutes les agences civiles fĂ©dĂ©rales amĂ©ricaines de corriger d’urgence la faille critique CVE-2025-10035 touchant l’outil de transfert de fichiers Fortra GoAnywhere MFT. Cette vulnĂ©rabilitĂ©, qui concerne la gestion des licences, permet Ă  un attaquant de soumettre une licence forgĂ©e puis d’exĂ©cuter des commandes arbitraires sur le serveur, ce qui se traduit par un risque d’accĂšs Ă  distance non autorisĂ© et de compromission totale du systĂšme. La faille a reçu un score CVSS de 10/10, indiquant sa gravitĂ© maximale, et elle est activement exploitĂ©e depuis au moins le 10 septembre 2025. ...

30 septembre 2025 Â· 2 min

VulnĂ©rabilitĂ©s critiques sur les plieuses-insĂ©reuses Quadient DS-700iQ : chaĂźne d’attaque jusqu’au dump d’identifiants

Selon Trustwave SpiderLabs (SpiderLabs Blog), des vulnĂ©rabilitĂ©s critiques affectent la machine de mise sous pli haut volume Quadient DS-700iQ, permettant une chaĂźne d’attaque complĂšte depuis la sortie du mode kiosque jusqu’au compromis d’identifiants et un possible pivot vers les rĂ©seaux d’entreprise. Le rapport dĂ©crit une progression d’attaque qui dĂ©bute par des failles de type race condition dans le client lourd IMOS provoquant des crashs et l’exposition du Windows sous-jacent, se poursuit par l’exploitation d’un accĂšs physique non sĂ©curisĂ© au PC contrĂŽleur (ports USB accessibles), et aboutit Ă  l’exĂ©cution de code arbitraire, la dĂ©sactivation des mĂ©canismes de sĂ©curitĂ© et l’extraction d’identifiants en clair. Le fournisseur n’a pas rĂ©pondu aux dĂ©marches de divulgation responsable et l’attribution de CVE est en attente. ...

30 septembre 2025 Â· 2 min

Western Digital corrige une faille critique sur les NAS My Cloud permettant l’exĂ©cution de commandes Ă  distance

Selon BleepingComputer, Western Digital a publiĂ© des mises Ă  jour de firmware pour plusieurs NAS My Cloud afin de corriger une vulnĂ©rabilitĂ© de sĂ©vĂ©ritĂ© critique permettant l’exĂ©cution de commandes systĂšme arbitraires Ă  distance. -Western Digital a corrigĂ© en urgence une faille critique (CVE-2025-30247) affectant de nombreux modĂšles My Cloud NAS utilisĂ©s par les particuliers, les petites entreprises et les bureaux Ă  domicile. Cette vulnĂ©rabilitĂ© d’injection de commandes dans l’interface web permet Ă  un attaquant distant d’exĂ©cuter des commandes arbitraires sur le systĂšme, sans authenticitĂ© prĂ©alable, via des requĂȘtes HTTP POST spĂ©cialement conçues. ...

30 septembre 2025 Â· 2 min

Zero‑day CVE-2025-41244: Ă©lĂ©vation de privilĂšges via la dĂ©couverte de services VMware (Tools/Aria) exploitĂ© par UNC5174

Source: blog.nviso.eu (NVISO, Maxime Thiebaut) — NVISO dĂ©taille l’exploitation zero‑day de CVE-2025-41244, une Ă©lĂ©vation de privilĂšges locale affectant la dĂ©couverte de services de VMware Tools et VMware Aria Operations, observĂ©e in‑the‑wild depuis mi‑octobre 2024 et officiellement divulguĂ©e par Broadcom le 29 septembre 2025. ‱ VulnĂ©rabilitĂ© et impact La faille (CWE‑426: Untrusted Search Path) provient de la logique du script get-versions.sh (open‑vm‑tools) utilisant des regex trop larges (classe \S) qui peuvent faire correspondre et exĂ©cuter des binaires non systĂšme (ex. /tmp/httpd) en contexte privilĂ©giĂ©. Impact: exĂ©cution de code avec des privilĂšges Ă©levĂ©s (root) par un utilisateur local non privilĂ©giĂ©, dans les deux modes de dĂ©couverte: credential-based (logique cĂŽtĂ© Aria Operations) et credential-less (logique dans VMware Tools). ‱ Produits et composants concernĂ©s ...

30 septembre 2025 Â· 2 min

Arrestation au Royaume-Uni aprùs une attaque par ransomware contre le logiciel d’enregistrement de Collins Aerospace

Source: BBC (bbc.com). Contexte: Une attaque cyber ayant visĂ© le logiciel d’enregistrement et de bagages de Collins Aerospace perturbe depuis plusieurs jours des aĂ©roports europĂ©ens, tandis que la NCA annonce une arrestation au Royaume-Uni. 🚹 La National Crime Agency (NCA) a arrĂȘtĂ© un homme d’une quarantaine d’annĂ©es Ă  West Sussex, soupçonnĂ© d’infractions au Computer Misuse Act, dans le cadre de l’enquĂȘte sur l’« incident cyber » affectant Collins Aerospace. L’individu a Ă©tĂ© libĂ©rĂ© sous caution et l’enquĂȘte, dirigĂ©e par l’unitĂ© nationale de la cybercriminalitĂ©, se poursuit. La NCA parle d’une « Ă©tape positive » mais d’investigations encore « Ă  un stade prĂ©coce ». ...

26 septembre 2025 Â· 2 min

BRICKSTORM d’UNC5221 sur appareils pĂ©rimĂ©triques, infiltration IT DPRK, et arrestation aprĂšs l’attaque Collins Aerospace

Selon SentinelOne (rĂ©capitulatif « The Good, the Bad and the Ugly » semaine 39), plusieurs opĂ©rations rĂ©centes illustrent des tactiques avancĂ©es d’acteurs menaçants contre des infrastructures et des entreprises occidentales. ‱ OpĂ©ration Collins Aerospace: les forces de l’ordre britanniques ont procĂ©dĂ© Ă  une arrestation rapide aprĂšs l’attaque ayant perturbĂ© plusieurs aĂ©roports europĂ©ens. L’incident souligne la capacitĂ© de nuisance sur la chaĂźne aĂ©roportuaire et la rĂ©activitĂ© judiciaire au Royaume‑Uni. ‱ OpĂ©rations liĂ©es Ă  la DPRK: des groupes nord‑corĂ©ens coordonnent le vol d’identitĂ©s de dĂ©veloppeurs pour des arnaques au recrutement et l’infiltration d’équipes IT via des travailleurs proxy. Des Ă©quipes organisĂ©es opĂšrent en quarts de 10–16 heures avec des scripts prĂ©parĂ©s pour conduire ces campagnes de recrutement frauduleux. ...

26 septembre 2025 Â· 2 min

Check Point dĂ©voile l’écosystĂšme « Pure » : ClickFix → Rust Loader → PureHVNC/PureRAT, liens GitHub vers « PureCoder »

Check Point Research publie une analyse technique d’une campagne ClickFix menant Ă  l’infection par PureHVNC RAT et l’usage ultĂ©rieur de Sliver, avec un lien direct vers des comptes GitHub opĂ©rĂ©s par le dĂ©veloppeur de la famille de malwares « PureCoder ». ChaĂźne d’infection (8 jours) đŸ§Ș/🐀: AccĂšs initial via ClickFix (fausses offres d’emploi) copiant automatiquement une commande PowerShell qui dĂ©pose un JavaScript malveillant et crĂ©e une persistance (LNK dans Startup, C2 journalier par rotation de domaines). DĂ©ploiement de PureHVNC RAT (C2 54.197.141[.]245) avec IDs de campagne « 2a » puis « amazon3 » via un Loader Rust packagĂ© (Inno Setup), persistant par tĂąche planifiĂ©e. Jour 8 : livraison d’un implant Sliver C2 (hxxps://jq-scripts.global.ssl[.]fastly[.]net) exĂ©cutant un script PowerShell qui exfiltre des identifiants saisis par l’utilisateur dans un prompt (stockĂ©s sous %ProgramData%/__cred.txt). Analyse du Rust Loader (Ă©vasion/anti-analyses) đŸ›Ąïž: ...

26 septembre 2025 Â· 3 min
Derniùre mise à jour le: 9 juillet 2026 📝