Ransomware perturbe les systĂšmes d’enregistrement : plusieurs aĂ©roports europĂ©ens touchĂ©s (attaque liĂ©e Ă  Collins Aerospace)

Source : BBC (bbc.com). Dans un contexte de perturbations majeures dans plusieurs aĂ©roports europĂ©ens, l’ENISA confirme l’usage de ransomware pour « brouiller » les systĂšmes automatiques d’enregistrement et d’embarquement, et indique que le type de malware a Ă©tĂ© identifiĂ©, avec une enquĂȘte en cours par les forces de l’ordre. ✈ Impact opĂ©rationnel : plusieurs des aĂ©roports les plus frĂ©quentĂ©s d’Europe ont Ă©tĂ© perturbĂ©s depuis vendredi, avec des retards et des annulations. La BBC rapporte que l’attaque a touchĂ© le fournisseur amĂ©ricain Collins Aerospace vendredi soir, provoquant des dysfonctionnements dans de nombreux aĂ©roports dĂšs samedi. ...

26 septembre 2025 Â· 2 min

Ransomware sur la plateforme MUSE de Collins Aerospace perturbe des aĂ©roports europĂ©ens; RTX confirme l’incident

Selon Acronis (rubrique Threats and Vulnerabilities), un ransomware a visĂ© la plateforme MUSE de Collins Aerospace, entraĂźnant des perturbations majeures dans plusieurs aĂ©roports europĂ©ens, et a Ă©tĂ© formellement reconnu par RTX Corporation dans un dĂ©pĂŽt Ă  la SEC. ‱ Faits marquants: un ransomware a touchĂ© la plateforme de traitement passagers ARINC MUSE, utilisĂ©e pour le partage de comptoirs, bornes et portes d’embarquement. Les aĂ©roports de Heathrow, Bruxelles, Berlin et Dublin ont dĂ» revenir Ă  des procĂ©dures manuelles, provoquant retards et annulations. Un suspect a Ă©tĂ© arrĂȘtĂ© au Royaume‑Uni puis libĂ©rĂ© sous caution. Le variant du ransomware et le vecteur d’attaque restent non confirmĂ©s. RTX a apportĂ© la premiĂšre reconnaissance officielle de l’incident via une dĂ©claration Ă  la SEC. ✈ ...

26 septembre 2025 Â· 2 min

REM Proxy propose ~80 % du réseau SystemBC et un pool de 20 000 routeurs Mikrotik

Selon la source fournie, REM Proxy, un rĂ©seau de proxys Ă  visĂ©e criminelle, est prĂ©sentĂ© comme l’un des principaux utilisateurs du botnet SystemBC, offrant Ă  ses clients environ 80 % du rĂ©seau SystemBC. Le service commercialise un pool de 20 000 routeurs Mikrotik et agrĂšge Ă©galement des proxys ouverts trouvĂ©s en ligne. REM Proxy est dĂ©crit comme populaire auprĂšs d’acteurs malveillants, notamment ceux derriĂšre TransferLoader, liĂ© au groupe de ransomware Morpheus. ...

26 septembre 2025 Â· 2 min

ShadowV2 : un botnet DDoS-as-a-service qui abuse de Docker et GitHub CodeSpaces

Source : Darktrace — Analyse d’une campagne Ă©mergente baptisĂ©e ShadowV2, conçue comme une plateforme DDoS-as-a-service, mĂȘlant outils cloud-native et malware classique. ‱ Le cƓur de l’opĂ©ration repose sur un C2 Python hĂ©bergĂ© sur GitHub CodeSpaces, un spreader Python utilisant Docker comme vecteur d’accĂšs initial, et un binaire Go jouant le rĂŽle de RAT avec API REST pour l’enregistrement, le polling et l’exĂ©cution de commandes. L’infrastructure expose une spĂ©cification OpenAPI via FastAPI/Pydantic et un panneau opĂ©rateur complet, illustrant un modĂšle de DDoS-as-a-service. ...

26 septembre 2025 Â· 3 min

SonicWall publie un firmware pour supprimer un rootkit sur les SMA 100

Selon BleepingComputer (Sergiu Gatlan, 23 septembre 2025), SonicWall a publiĂ© un nouveau firmware pour les appliances SMA 100 afin d’aider Ă  retirer un rootkit observĂ© dans des attaques rĂ©centes. đŸ›Ąïž SonicWall annonce la version de firmware SMA 100 10.2.2.2-92sv avec vĂ©rifications de fichiers renforcĂ©es permettant de retirer des rootkits connus prĂ©sents sur les Ă©quipements. L’éditeur recommande fortement la mise Ă  niveau pour les SMA 210, 410 et 500v. 🔎 Contexte menace: en juillet, le Google Threat Intelligence Group (GTIG) a observĂ© l’acteur UNC6148 dĂ©ployer le malware OVERSTEP sur des appareils SMA 100 en fin de vie, dont le support se termine le 1er octobre 2025. OVERSTEP est un rootkit en mode utilisateur qui assure une persistance (composants cachĂ©s, reverse shell) et exfiltre des fichiers sensibles (dont les fichiers persist.database et certificats), exposant identifiants, graines OTP et certificats. ...

26 septembre 2025 Â· 2 min

Botnet « Loader-as-a-Service » diffuse RondoDoX, Mirai et Morte via injections de commandes

Selon CloudSEK, une opĂ©ration de botnet exploitant un modĂšle de Loader-as-a-Service distribue les charges malveillantes RondoDoX, Mirai et Morte. La campagne cible systĂ©matiquement des routeurs SOHO, des appareils IoT et des applications d’entreprise, avec une hausse d’attaques de 230 % et une rotation rapide de l’infrastructure. 🚹 Vecteurs et vulnĂ©rabilitĂ©s: les acteurs abusent d’injections de commandes via des paramĂštres POST non filtrĂ©s dans des interfaces web (champs NTP, syslog, hostname), et exploitent des CVE connues affectant WebLogic, WordPress et vBulletin. Ils tirent aussi parti d’identifiants par dĂ©faut et de chargeurs multi‑étapes pour dĂ©ployer les payloads sur plusieurs architectures. ...

25 septembre 2025 Â· 2 min

CVE-2025-23298 : RCE via désérialisation pickle dans NVIDIA Transformers4Rec (correctif publié)

Selon la Zero Day Initiative (Trend Micro), une vulnĂ©rabilitĂ© critique CVE-2025-23298 affecte la bibliothĂšque NVIDIA Transformers4Rec et permet une exĂ©cution de code Ă  distance avec privilĂšges root lors du chargement de checkpoints de modĂšles, un correctif ayant Ă©tĂ© publiĂ© par NVIDIA. La faille provient de la fonction load_model_trainer_states_from_checkpoint qui utilise torch.load() sans paramĂštres de sĂ»retĂ©. Ce chargement dĂ©sĂ©rialise directement des donnĂ©es pickle, ce qui autorise des fichiers de checkpoint malveillants Ă  exĂ©cuter du code arbitraire via la mĂ©thode reduce de pickle pendant la dĂ©sĂ©rialisation. L’exploit dĂ©montrĂ© intĂšgre des commandes os.system dans des objets state_dict du modĂšle. ...

25 septembre 2025 Â· 2 min

CyberArk détaille comment le ver Shai-Hulud a, en septembre 2024, trojanisé des paquets npm pour voler des identifiants et publier des versions backdoorées

Selon CyberArk (billet de blog), l’attaque « Shai-Hulud » a frappĂ© l’écosystĂšme npm en septembre 2024, exploitant des faiblesses d’identitĂ© (comptes humains, identitĂ©s machines, relations de confiance logicielle) pour mener une attaque de chaĂźne d’approvisionnement ayant compromis 500+ paquets en moins de 24 heures. Le ver đŸȘ± a Ă©tĂ© diffusĂ© via des paquets npm trojanisĂ©s tels que "@ctrl/tinycolor@4.1.1", livrant une charge utile multi‑étapes. À l’exĂ©cution de bundle.js, le malware a collectĂ© des identifiants (fichiers, variables d’environnement, points de terminaison IMDS cloud), s’appuyant notamment sur des outils comme TruffleHog. Les jetons volĂ©s (npm, GitHub, cloud) Ă©taient validĂ©s, puis les donnĂ©es exfiltrĂ©es vers des dĂ©pĂŽts GitHub publics et des services de webhooks. ...

25 septembre 2025 Â· 2 min

Deux crates Rust malveillantes imitent fast_log pour voler des clés de portefeuilles crypto

Selon Socket (blog), l’équipe Threat Research a identifiĂ© deux crates Rust malveillantes, fasterlog et asyncprintln, qui usurpent la bibliothĂšque lĂ©gitime fast_log et dĂ©robent des clĂ©s privĂ©es de portefeuilles crypto. Les paquets auraient totalisĂ© 8 424 tĂ©lĂ©chargements avant leur retrait par l’équipe sĂ©curitĂ© de Crates, qui a aussi verrouillĂ© les comptes associĂ©s. — DĂ©couverte et impact — ‱ Type d’attaque : attaque de la chaĂźne d’approvisionnement via des crates Rust malveillantes. ‱ Produits concernĂ©s : crates fasterlog et asyncprintln (imitation de fast_log). ‱ Impact : vol de clĂ©s privĂ©es Ethereum et Solana, avec 8 424 tĂ©lĂ©chargements observĂ©s avant la suppression. ‱ RĂ©ponse de l’écosystĂšme : retrait des paquets et verrouillage des comptes par l’équipe Crates. ...

25 septembre 2025 Â· 2 min

Deux failles firmware sur matériels Supermicro (dont BMC) permettent des mises à jour malveillantes

Selon BleepingComputer, deux vulnĂ©rabilitĂ©s affectent le firmware des matĂ©riels Supermicro, y compris les Baseboard Management Controller (BMC), et permettent Ă  des attaquants de mettre Ă  jour les systĂšmes avec des images malicieusement forgĂ©es. Les experts de la sociĂ©tĂ© de sĂ©curitĂ© des micrologiciels Binarly ont dĂ©couvert un contournement d’une faille (CVE-2024-10237) que Supermicro a corrigĂ©e en janvier dernier, ainsi qu’une autre vulnĂ©rabilitĂ© identifiĂ©e sous le nom de CVE-2025-6198. De nouvelles vulnĂ©rabilitĂ©s critiques ont Ă©tĂ© dĂ©couvertes dans le firmware des serveurs Supermicro, touchant directement le Baseboard Management Controller (BMC), un composant essentiel permettant la gestion et la surveillance Ă  distance, mĂȘme lorsque le serveur est Ă©teint. Selon les chercheurs de Binarly, ces failles, identifiĂ©es comme CVE-2024-10237, CVE-2025-6198 et CVE-2025-7937, permettent Ă  un attaquant d’installer un firmware malveillant qui reste actif malgrĂ© les redĂ©marrages ou rĂ©installations du systĂšme d’exploitation, ouvrant la voie Ă  des backdoors persistantes. ...

25 septembre 2025 Â· 2 min
Derniùre mise à jour le: 9 juillet 2026 📝