SAP corrige 21 failles dont 3 critiques dans NetWeaver et autres produits

Selon BleepingComputer, SAP a publiĂ© son bulletin sĂ©curitĂ© de septembre dĂ©taillant 21 nouvelles vulnĂ©rabilitĂ©s, dont trois failles critiques affectant principalement SAP NetWeaver. NetWeaver est le socle de multiples apps SAP (ERP, CRM, SRM, SCM) et est largement dĂ©ployĂ© en entreprise. 🔮 CVE-2025-42944 (CVSS 10.0) — DĂ©sĂ©rialisation non sĂ©curisĂ©e dans SAP NetWeaver (RMIP4), ServerCore 7.50. Un attaquant non authentifiĂ© peut exĂ©cuter des commandes OS arbitraires en envoyant un objet Java malveillant via le module RMI-P4 vers un port ouvert. Le protocole RMI-P4, utilisĂ© par NetWeaver AS Java pour la communication interne SAP-to-SAP ou l’administration, peut ĂȘtre exposĂ© au-delĂ  de l’hĂŽte (voire Ă  Internet) en cas de mauvaise configuration rĂ©seau (pare-feu, etc.). ...

10 septembre 2025 Â· 2 min

Scattered Spider : du vishing au ransomware contre des entreprises au Royaume-Uni et aux États-Unis

Selon SCYTHE (rĂ©fĂ©rence: scythe.io), le groupe anglophone Scattered Spider est passĂ© d’arnaques de SIM swapping menĂ©es par des adolescents Ă  des opĂ©rations de ransomware sophistiquĂ©es visant des organisations majeures au Royaume‑Uni et aux États‑Unis, notamment dans le retail, l’hĂŽtellerie et la finance. Leurs attaques s’appuient sur une ingĂ©nierie sociale avancĂ©e pour manipuler les Ă©quipes de support IT et sur l’abus d’outils administratifs lĂ©gitimes. L’analyse souligne le besoin de protocoles stricts cĂŽtĂ© help desk, de formations et d’une surveillance accrue des comptes Ă  privilĂšges et des outils de gestion Ă  distance. ...

10 septembre 2025 Â· 2 min

Silent Push publie des requĂȘtes de threat hunting pour dĂ©tecter l’infrastructure de Lumma, StealC, Latrodectus, Clearfake et Kongtuke

Source : Silent Push — L’article prĂ©sente des requĂȘtes de dĂ©tection prĂȘtes Ă  l’emploi pour traquer l’infrastructure associĂ©e Ă  des familles de malware comme Lumma Stealer, StealC, Latrodectus, Clearfake et Kongtuke, en s’appuyant sur la plateforme Silent Push Community Edition. Silent Push prĂ©sente des mĂ©thodes de dĂ©tection proactive de l’infrastructure malveillante grĂące Ă  des requĂȘtes avancĂ©es accessibles dans sa plateforme, dont une partie est disponible au sein de l’offre Community Edition. L’outil repose sur la signature de comportements prĂ©cis lors de la crĂ©ation et l’utilisation de domaines, serveurs C2 et ressources web typiques de familles de malware, infostealers et campagnes de phishing en 2025. ...

10 septembre 2025 Â· 2 min

The Gentlemen : TTPs d’une campagne ransomware ciblĂ©e dĂ©voilĂ©s par Trend Micro

Source: Trend Micro (analyse publiĂ©e le 9 septembre 2025). Le rapport couvre une campagne d’aoĂ»t 2025 menĂ©e par le groupe ransomware Ă©mergent The Gentlemen, caractĂ©risĂ©e par des outils adaptatifs et des contournements ciblĂ©s des protections d’entreprise. Les secteurs les plus touchĂ©s sont la manufacture, la construction, la santĂ© et l’assurance, avec un fort focus Asie‑Pacifique (notamment ThaĂŻlande) et les États‑Unis (17 pays affectĂ©s). ChaĂźne d’attaque et mouvements: l’accĂšs initial est attribuĂ© avec probabilitĂ© Ă  l’exploitation de services exposĂ©s ou Ă  des identifiants compromis. Des indices montrent la compromission d’un compte administrateur FortiGate et d’un serveur FortiGate accessible depuis Internet. La dĂ©couverte rĂ©seau s’appuie sur Advanced IP Scanner et des scripts batch (ex. “1.bat”) pour l’énumĂ©ration massive des comptes/groupes Active Directory. La latĂ©ralisation utilise PsExec, l’affaiblissement des paramĂštres d’authentification via modifications du Registre, et la persistance via AnyDesk. Des scans internes sont rĂ©alisĂ©s avec Nmap; un usage de PuTTY/SSH est Ă©galement Ă©voquĂ©. ...

10 septembre 2025 Â· 3 min

Un cybercriminel installe pour test l’antivirus de nouvelle gĂ©nĂ©ration d'Huntress, rĂ©vĂ©lant ainsi ses opĂ©rations quotidiennes

Source: Huntress (billet de blog). Contexte: Huntress explique qu’un acteur de menace a lancĂ© un essai et installĂ© l’agent EDR sur sa propre machine, permettant Ă  l’équipe SOC d’observer directement ses activitĂ©s et d’alimenter des dĂ©tections, tout en rappelant le cadre de transparence et de confidentialitĂ© associĂ© Ă  la tĂ©lĂ©mĂ©trie EDR. Huntress a identifiĂ© que l’hĂŽte Ă©tait malveillant en corrĂ©lant un nom de machine dĂ©jĂ  vu sur plusieurs incidents et des signaux de comportement suspect. L’analyse a reliĂ© l’infrastructure primaire de l’adversaire (hĂ©bergĂ©e sur l’AS « 12651980 CANADA INC. », dĂ©sormais VIRTUO) Ă  un schĂ©ma d’accĂšs touchant plus de 2 471 identitĂ©s sur deux semaines, avec des activitĂ©s incluant la crĂ©ation de rĂšgles mail malveillantes et le vol/rafraĂźchissement de tokens de session. Des chasses rĂ©troactives ont aussi rĂ©vĂ©lĂ© 20 identitĂ©s compromises supplĂ©mentaires, plusieurs dĂ©jĂ  accĂ©dĂ©es avant le dĂ©ploiement de Huntress. ...

10 septembre 2025 Â· 3 min

Abus de Microsoft Power Automate : exfiltration de données et persistance via des flux légitimes

Selon Trend Micro, des cybercriminels et acteurs Ă©tatiques dĂ©tournent les fonctionnalitĂ©s lĂ©gitimes de Microsoft Power Automate pour mener des opĂ©rations discrĂštes, profitant de l’essor de l’automatisation et de lacunes de visibilitĂ© dans les environnements Microsoft 365. ‱ Constat principal : des fonctionnalitĂ©s natives et connecteurs de Power Automate sont utilisĂ©es pour des activitĂ©s de Living off the Land, facilitant la fuite de donnĂ©es, la persistance, le contournement des contrĂŽles, le Business Email Compromise (BEC), le soutien Ă  des campagnes de ransomware et des opĂ©rations d’espionnage. ...

8 septembre 2025 Â· 2 min

Campagne AMOS Stealer sur macOS via logiciels « crackés » et commandes Terminal

Source: Trend Micro (Trend Research), septembre 2025. Dans une analyse MDR, l’éditeur dĂ©crit une campagne diffusant Atomic macOS Stealer (AMOS) qui cible les utilisateurs macOS via des sites de « crack » et des pages d’installation trompeuses, avec rotation agressive de domaines et exfiltration HTTP(S). ‱ Distribution et contournements. Les assaillants dĂ©guisent AMOS en faux installeurs (.dmg) de logiciels populaires « crackĂ©s » ou incitent les victimes Ă  copier-coller des commandes dans le Terminal (curl vers un script install.sh). Les .dmg non notarĂ©s sont bloquĂ©s par Gatekeeper sur macOS Sequoia 15.5/15.6, mais la mĂ©thode Terminal obtient un taux de succĂšs Ă©levĂ©. Le kit emploie une rotation de domaines/URLs (redirecteurs .cfd, pages d’atterrissage et hĂŽtes de charge utile) pour Ă©viter les dĂ©tections statiques et retarder les takedowns. ...

8 septembre 2025 Â· 3 min

Intrusion liĂ©e Ă  plusieurs gangs ransomware: faux EarthTime → SectopRAT, SystemBC, Betruger, exfiltration via FTP

Source: The DFIR Report (Threat Brief initial publiĂ© en mars 2025). Contexte: une intrusion dĂ©marrĂ©e en septembre 2024 par exĂ©cution d’un faux installeur EarthTime, conduisant au dĂ©ploiement de SectopRAT, puis SystemBC pour le tunneling/proxy, et plus tard du backdoor Betruger. L’attaquant a rĂ©alisĂ© reconnaissance, escalade, mouvements latĂ©raux via RDP/Impacket, collecte et exfiltration de donnĂ©es, avant Ă©jection, avec des indices reliant Play, RansomHub et DragonForce. ‱ Point d’entrĂ©e et persistance: exĂ©cution d’un binaire EarthTime.exe signĂ© avec un certificat rĂ©voquĂ©, injectant SectopRAT via MSBuild.exe. Persistance par BITS (copie vers Roaming/QuickAgent2 en ChromeAlt_dbg.exe + lien Startup), crĂ©ation d’un compte local “Admon” (Qwerty12345!) avec privilĂšges admin. DĂ©ploiement de SystemBC (WakeWordEngine.dll/conhost.dll) depuis C:\Users\Public\Music\ via rundll32. ...

8 septembre 2025 Â· 2 min

Cloudflare bloque une attaque DDoS record de 11,5 Tbps; Google Cloud nuance son implication

SecurityWeek rapporte que Cloudflare a annoncĂ© avoir bloquĂ© la plus grande attaque DDoS jamais enregistrĂ©e, culminant Ă  11,5 Tbps, principalement un UDP flood, avec un dĂ©bit de 5,1 milliards de paquets par seconde (Bpps) et d’une durĂ©e d’environ 35 secondes. Un premier message indiquait une origine majoritairement liĂ©e Ă  Google Cloud, avant une mise Ă  jour prĂ©cisant que Google Cloud n’était qu’une source parmi d’autres, aux cĂŽtĂ©s de plusieurs fournisseurs IoT et cloud. đŸ›Ąïž ...

7 septembre 2025 Â· 2 min

CYFIRMA dévoile Salat Stealer/WEB_RAT : infostealer Go en modÚle MaaS ciblant Windows

Selon CYFIRMA (publication de recherche), Salat Stealer, aussi nommĂ© WEB_RAT, est un infostealer sophistiquĂ© Ă©crit en Go ciblant Windows, opĂ©rĂ© sous un modĂšle Malware-as-a-Service par des acteurs russophones. ‱ CapacitĂ©s et cibles: Le malware vole des identifiants de navigateurs (Chrome, Edge, Firefox, Opera), des donnĂ©es de portefeuilles crypto (Coinomi, Exodus, Electrum) et des sessions utilisateur, avec exfiltration vers ses serveurs C2 via UDP et HTTPS. ‱ Persistance et Ă©vasion: Binaire UPX-packĂ©, persistance par clĂ©s Run du registre et tĂąches planifiĂ©es, mascarade de processus (ex. Lightshot.exe). Il intĂšgre des fonctions anti‑analyse incluant exclusions Windows Defender, bypass UAC et dĂ©sactivation de WinRE. ...

7 septembre 2025 Â· 2 min
Derniùre mise à jour le: 9 juillet 2026 📝