MuddyWater cible des CFO via hameçonnage multi‑étapes et abus de NetBird

Selon Hunt.io (billet du 20 aoĂ»t 2025, avec recoupements Trellix), une campagne sophistiquĂ©e attribuĂ©e Ă  APT MuddyWater cible des directeurs financiers sur plusieurs continents via des leurres hĂ©bergĂ©s sur Firebase/Web.app, des scripts VBS et l’abus d’outils lĂ©gitimes pour maintenir un accĂšs persistant. ‱ Panorama de l’attaque 🎯: Des e‑mails d’hameçonnage ciblĂ© se faisant passer pour un recruteur de Rothschild & Co mĂšnent vers des pages Firebase avec CAPTCHA/maths et redirections AES chiffrĂ©es. La chaĂźne d’infection dĂ©ploie des scripts VBS, livre des charges additionnelles depuis une infrastructure contrĂŽlĂ©e et installe NetBird et OpenSSH afin d’établir une persistance et un contrĂŽle Ă  distance. Les opĂ©rateurs abusent Ă©galement d’outils lĂ©gitimes comme AteraAgent.exe. Des recoupements d’IoC, d’infrastructure et de TTPs alignent cette activitĂ© avec APT MuddyWater. ...

21 aoĂ»t 2025 Â· 3 min

Phishing AitMxa0: des acteurs abusent d’ADFS et de la malvertising pour rediriger outlook.office.com vers des pages piĂ©gĂ©es

Selon Push (recherche signĂ©e par Luke Jennings), une campagne de phishing exploite un tenant Microsoft configurĂ© avec ADFS et de la malvertising pour obtenir des redirections lĂ©gitimes depuis outlook.office.com vers une page de phishing Microsoft clonĂ©e en reverse‑proxy. ‱ Le kit observĂ© est un classique de type Attacker‑in‑the‑Middle (AitM) clonant la page de connexion Microsoft afin d’intercepter la session et contourner la MFA. L’originalitĂ© ne vient pas de la page mais de la chaĂźne de redirections et de l’évasion de dĂ©tection. ...

21 aoĂ»t 2025 Â· 3 min

Six gestionnaires de mots de passe exposés à des failles de clickjacking non corrigées

Selon BleepingComputer, six gestionnaires de mots de passe trĂšs rĂ©pandus prĂ©sentent des vulnĂ©rabilitĂ©s de type clickjacking qui ne sont pas encore corrigĂ©es. Lors de la confĂ©rence de cybersĂ©curitĂ© DEF CON 33, le chercheur indĂ©pendant Marek TĂłth a mis en lumiĂšre une faille critique touchant plusieurs gestionnaires de mots de passe populaires, pouvant exposer les identifiants, codes 2FA et informations bancaires de dizaines de millions d’utilisateurs. Selon BleepingComputer, six applications largement utilisĂ©es – dont 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass et LogMeOnce – sont vulnĂ©rables Ă  une technique de type clickjacking. ...

21 aoĂ»t 2025 Â· 3 min

USENIX Security 2025: risques de sĂ©curitĂ© et de vie privĂ©e dans l’écosystĂšme eSIM

Source et contexte: Publication de recherche prĂ©sentĂ©e au 34e USENIX Security Symposium (USENIX Security ’25), par des chercheurs de Northeastern University, portant sur les risques de sĂ©curitĂ© et de vie privĂ©e de l’écosystĂšme eSIM et de la Remote SIM Provisioning (RSP). ‱ Constat gĂ©nĂ©ral: L’adoption des eSIM (notamment pour les voyages) introduit de nouveaux risques liĂ©s au routage des donnĂ©es, au rĂŽle des revendeurs, aux communications proactives STK et au contrĂŽle du cycle de vie des profils. Les auteurs mĂšnent des mesures empiriques (traceroute/IP, analyse de tableaux de bord revendeurs, capture STK via sysmoEUICC1 + SIMtrace2, tests en rĂ©seau LTE privĂ©) et publient leurs jeux de donnĂ©es. ...

21 aoĂ»t 2025 Â· 4 min

CodeRabbit: une config Rubocop a permis une RCE et un accÚs lecture/écriture à 1 M de dépÎts

Selon Kudelski Security (blog de recherche), un enchaĂźnement de failles dans l’intĂ©gration de Rubocop par CodeRabbit a permis d’obtenir une exĂ©cution de code Ă  distance (RCE) sur des serveurs de production, d’exfiltrer de nombreux secrets (dont la clĂ© privĂ©e du GitHub App CodeRabbit) et, par ricochet, d’accĂ©der en lecture/Ă©criture Ă  des dĂ©pĂŽts GitHub installĂ©s (jusqu’à 1 M de dĂ©pĂŽts). Les correctifs ont Ă©tĂ© dĂ©ployĂ©s rapidement en janvier 2025, notamment la dĂ©sactivation puis l’isolation de Rubocop. ...

20 aoĂ»t 2025 Â· 3 min

CVE-2025-4598 dans systemd-coredump : fuite de donnĂ©es sensibles sur EL9 par dĂ©faut, RLC-H bloque l’exploit

Source: CIQ (blog) publie une dĂ©monstration pratique et une analyse de la vulnĂ©rabilitĂ© CVE-2025-4598 affectant systemd-coredump, encore non corrigĂ©e par dĂ©faut sur Enterprise Linux 9 (EL9), et dĂ©taille pourquoi Rocky Linux from CIQ – Hardened (RLC‑H) la bloque via des dĂ©fenses en profondeur. Le billet explique que la faille, un problĂšme liĂ© Ă  la gestion des coredumps par systemd-coredump, permet Ă  un attaquant disposant d’un accĂšs local non privilĂ©giĂ© d’obtenir en quelques secondes des donnĂ©es sensibles provenant de processus privilĂ©giĂ©s qui crashent (ex. hachages de mots de passe, clĂ©s cryptographiques). L’exposition dĂ©pend de la configuration: sur EL9 (et Fedora/EL10 selon leur configuration), systemd-coredump est actif via kernel.core_pattern et fs.suid_dumpable≠0, alors qu’EL7/8 ne sont pas exposĂ©s par dĂ©faut. Fedora a corrigĂ© rapidement, Oracle a publiĂ© un correctif dĂšs la divulgation, mais EL9 reste vulnĂ©rable par dĂ©faut au moment de l’article. ...

20 aoĂ»t 2025 Â· 3 min

Okta open-source des requĂȘtes Sigma pour dĂ©tecter les ATO et anomalies sur Auth0

Selon BleepingComputer, Okta a rendu open source des requĂȘtes Sigma prĂȘtes Ă  l’emploi destinĂ©es aux clients Auth0 pour renforcer la dĂ©tection dans les journaux d’évĂ©nements. Ces requĂȘtes visent Ă  identifier : des prises de contrĂŽle de comptes (ATO), des mauvaises configurations, des comportements suspects observables dans les logs Auth0. Objectif affichĂ© : offrir aux utilisateurs Auth0 des dĂ©tections prĂȘtes Ă  l’usage pour amĂ©liorer la visibilitĂ© et l’alerte sur des scĂ©narios critiques au sein de leurs Ă©vĂ©nements d’authentification et d’activitĂ©. đŸ› ïž ...

20 aoĂ»t 2025 Â· 1 min

Phishing: détournement des Cisco Safe Links pour contourner les filtres, détecté par Raven AI

Selon ravenmail.io (14 aoĂ»t 2025), des acteurs malveillants mĂšnent une campagne de credential phishing en dĂ©tournant les Cisco Safe Links afin d’échapper au filtrage des emails et de tirer parti de la confiance des utilisateurs. L’article explique comment l’exploitation de l’infrastructure de sĂ©curitĂ© lĂ©gitime fonctionne: les liens potentiellement suspects sont réécrits en « secure-web.cisco.com » par Cisco pour une analyse en temps rĂ©el. Des attaquants capitalisent sur la confiance de marque (« secure » + « Cisco ») et sur les contrĂŽles centrĂ©s sur le domaine visible, crĂ©ant un biais de confiance et un contournement des dĂ©tections. Ils profitent aussi d’un dĂ©lai de classification des nouvelles menaces pour opĂ©rer avant que les destinations ne soient signalĂ©es. La logique est similaire aux protections de Microsoft Defender et Proofpoint TAP. ...

20 aoĂ»t 2025 Â· 3 min

Plex corrige une vulnérabilité et appelle à une mise à jour urgente de Plex Media Server

Selon BleepingComputer, Plex a averti certains utilisateurs et a publiĂ© un correctif pour une vulnĂ©rabilitĂ© touchant Plex Media Server, en les exhortant Ă  mettre Ă  jour rapidement leurs serveurs. ‱ PortĂ©e et correctif ⚠: La faille concerne les versions 1.41.7.x Ă  1.42.0.x de Plex Media Server. La mise Ă  jour 1.42.1.10060 corrige le problĂšme et est disponible via la page de gestion du serveur ou la page officielle de tĂ©lĂ©chargements. Aucun CVE n’a encore Ă©tĂ© attribuĂ©, et Plex n’a pas divulguĂ© de dĂ©tails techniques sur la vulnĂ©rabilitĂ©. ...

20 aoĂ»t 2025 Â· 2 min

PyPI invalide les e-mails liés à des domaines expirés pour bloquer les attaques par résurrection de domaine

Source: blog.pypi.org (The Python Package Index Blog). PyPI dĂ©ploie une mesure de sĂ©curitĂ© visant Ă  contrer les attaques de chaĂźne d’approvisionnement dites de rĂ©surrection de domaine en invalidant les adresses e‑mail liĂ©es Ă  des domaines arrivĂ©s en expiration. Depuis dĂ©but juin 2025, PyPI a « dĂ©-vĂ©rifiĂ© » plus de 1 800 adresses e‑mail lorsque leurs domaines associĂ©s sont entrĂ©s en phase d’expiration. Objectif: empĂȘcher qu’un attaquant rachĂšte un domaine expirĂ©, configure un serveur de messagerie, lance une demande de rĂ©initialisation de mot de passe et prenne le contrĂŽle d’un compte. Cette mesure renforce la posture de sĂ©curitĂ© des comptes et ferme un vecteur d’attaque oĂč la majoritĂ© des interactions apparaissaient lĂ©gitimes. ...

20 aoĂ»t 2025 Â· 2 min
Derniùre mise à jour le: 10 juillet 2026 📝