Le groupe Everest extorque des entreprises aprĂšs des cyberattaques massives

En mai 2025, le groupe de cybercriminels connu sous le nom de Everest Group a revendiquĂ© une sĂ©rie d’attaques contre de grandes organisations rĂ©parties au Moyen-Orient, en Afrique, en Europe et en AmĂ©rique du Nord. Ce groupe, souvent nĂ©gligĂ© par le passĂ©, a annoncĂ© avoir menĂ© neuf nouvelles cyberattaques ce mois-ci. Les victimes incluent des organisations dans des secteurs variĂ©s, tels que la santĂ© et la construction. Cependant, leur attaque la plus marquante a visĂ© la sociĂ©tĂ© Coca-Cola, oĂč ils ont rĂ©ussi Ă  voler des donnĂ©es personnelles de centaines d’employĂ©s. ...

30 mai 2025 Â· 2 min

Attaques Browser-in-the-Middle et vulnérabilités du FullScreen API

Cet article, publiĂ© par SquareX Labs, met en lumiĂšre les attaques Browser-in-the-Middle (BitM), une mĂ©thode oĂč un attaquant utilise les fonctionnalitĂ©s d’un navigateur pour Ă©tablir une connexion de bureau Ă  distance non dĂ©tectĂ©e dans le navigateur de la victime. Un dĂ©faut majeur de l’attaque BitM est que la victime doit accĂ©der Ă  un site malveillant et effectuer une action pour ouvrir une fenĂȘtre pop-up noVNC. Cependant, l’adresse URL malveillante dans la barre d’adresse du navigateur parent peut Ă©veiller les soupçons des utilisateurs avertis. ...

29 mai 2025 Â· 1 min

Découverte d'un nouveau botnet Linux basé sur Go : PumaBot

L’article de BleepingComputer rapporte la dĂ©couverte d’un nouveau malware nommĂ© PumaBot, qui cible spĂ©cifiquement les appareils IoT sous Linux. PumaBot est un botnet Ă©crit en Go, un langage de programmation connu pour sa portabilitĂ© et son efficacitĂ©. Ce malware utilise des attaques par force brute pour compromettre les identifiants SSH des appareils IoT, ce qui lui permet de dĂ©ployer des charges utiles malveillantes. Les appareils IoT, souvent mal sĂ©curisĂ©s, sont des cibles privilĂ©giĂ©es pour ce type d’attaques, car ils peuvent ĂȘtre intĂ©grĂ©s dans un rĂ©seau de botnets pour mener diverses activitĂ©s malveillantes telles que des attaques DDoS ou l’exfiltration de donnĂ©es. ...

29 mai 2025 Â· 1 min

Utilisation abusive de Google Apps Script pour héberger des pages de phishing

L’article publiĂ© par BleepingComputer met en lumiĂšre une nouvelle mĂ©thode utilisĂ©e par des acteurs malveillants pour contourner les outils de sĂ©curitĂ© en ligne. En exploitant la plateforme de confiance Google Apps Script, ces acteurs parviennent Ă  hĂ©berger des pages de phishing qui paraissent lĂ©gitimes. Google Apps Script, une plateforme gĂ©nĂ©ralement utilisĂ©e pour automatiser des tĂąches sur Google Workspace, est dĂ©tournĂ©e de son usage initial pour crĂ©er des pages de phishing. Cette mĂ©thode permet aux attaquants de masquer leurs intentions malveillantes derriĂšre la rĂ©putation de confiance de Google, rendant ainsi leurs attaques plus difficiles Ă  dĂ©tecter. ...

29 mai 2025 Â· 1 min

Campagne furtive exploitant des routeurs ASUS via CVE-2023-39780

GreyNoise a dĂ©couvert une campagne d’exploitation furtive ciblant les routeurs ASUS, exploitant la vulnĂ©rabilitĂ© CVE-2023-39780 et d’autres techniques non corrigĂ©es. Cette activitĂ©, observĂ©e pour la premiĂšre fois le 18 mars 2025, a Ă©tĂ© rendue publique aprĂšs coordination avec des partenaires gouvernementaux et industriels. Les attaquants ont rĂ©ussi Ă  obtenir un accĂšs non autorisĂ© et persistant Ă  des milliers de routeurs ASUS exposĂ©s Ă  Internet. Cette opĂ©ration semble ĂȘtre une tentative de crĂ©er un rĂ©seau distribuĂ© de dispositifs avec des portes dĂ©robĂ©es, potentiellement pour former un botnet futur. ...

28 mai 2025 Â· 1 min

DragonForce utilise SimpleHelp pour attaquer un fournisseur de services gérés

Cet article, publiĂ© par Bleepingcomputer, rapporte une attaque de ransomware menĂ©e par le groupe DragonForce. Les attaquants ont ciblĂ© un fournisseur de services gĂ©rĂ©s (MSP) en utilisant la plateforme SimpleHelp pour accĂ©der aux systĂšmes des clients et y dĂ©ployer des encryptors. Les chercheurs de Sophos, appelĂ©s pour enquĂȘter, ont dĂ©couvert que les attaquants ont exploitĂ© une chaĂźne de vulnĂ©rabilitĂ©s de SimpleHelp, identifiĂ©es comme CVE-2024-57727, CVE-2024-57728, et CVE-2024-57726. Ces failles ont permis aux cybercriminels de rĂ©aliser des actions de reconnaissance sur les systĂšmes des clients, collectant des informations sensibles telles que les noms de dispositifs, les configurations, les utilisateurs et les connexions rĂ©seau. ...

28 mai 2025 Â· 1 min

Exploitation d'un MSP via SimpleHelp pour déployer le ransomware DragonForce

L’article publiĂ© par Sophos MDR relate une attaque ciblĂ©e impliquant un fournisseur de services gĂ©rĂ©s (MSP). Un acteur malveillant a exploitĂ© l’outil de surveillance et de gestion Ă  distance (RMM), SimpleHelp, pour dĂ©ployer le ransomware DragonForce sur plusieurs points de terminaison. L’attaque a Ă©tĂ© facilitĂ©e par une chaĂźne de vulnĂ©rabilitĂ©s rĂ©vĂ©lĂ©es en janvier 2025, notamment des failles de traversĂ©e de chemin, de tĂ©lĂ©chargement de fichiers arbitraires et d’élĂ©vation de privilĂšges (CVE-2024-57727, CVE-2024-57728, CVE-2024-57726). Les attaquants ont Ă©galement exfiltrĂ© des donnĂ©es sensibles, utilisant une tactique de double extorsion pour faire pression sur les victimes. ...

28 mai 2025 Â· 1 min

Exploitation de GitHub MCP : Fuite de données privées via injection de prompt

L’article publiĂ© le dĂ©veloppeur indĂ©pendent Simon Willison met en lumiĂšre une vulnĂ©rabilitĂ© critique dans le serveur MCP de GitHub qui permet l’exfiltration de donnĂ©es privĂ©es des utilisateurs. Deux chercheurs, Marco Milanta et Luca Beurer-Kellner, ont dĂ©couvert une exploitation qui utilise une injection de prompt pour tromper un agent LLM (Large Language Model) afin d’exfiltrer des informations privĂ©es concernant l’utilisateur du MCP. L’attaque est initiĂ©e par le dĂ©pĂŽt d’une issue malveillante dans un dĂ©pĂŽt public accessible au LLM. ...

28 mai 2025 Â· 1 min

Exploitation de la vulnérabilité BadSuccessor dans Windows Server 2025

L’article de Cyber Security News met en lumiĂšre un nouvel outil de preuve de concept, SharpSuccessor, qui exploite la vulnĂ©rabilitĂ© rĂ©cemment dĂ©couverte BadSuccessor dans la fonctionnalitĂ© de compte de service gĂ©rĂ© dĂ©lĂ©guĂ© (dMSA) de Windows Server 2025. SharpSuccessor, dĂ©veloppĂ© par Logan Goins, montre comment des attaquants avec des permissions minimales dans Active Directory peuvent escalader leurs privilĂšges jusqu’au niveau d’administrateur de domaine. Cette vulnĂ©rabilitĂ©, dĂ©couverte par le chercheur d’Akamai Yuval Gordon, manipule les attributs critiques msDS-ManagedAccountPrecededByLink et msDS-DelegatedMSAState pour crĂ©er un objet dMSA malveillant capable d’usurper n’importe quel compte cible. ...

28 mai 2025 Â· 1 min

Exploitation de vulnérabilités dans les routeurs ASUS par GreyNoise

GreyNoise a utilisĂ© un outil d’analyse de trafic rĂ©seau alimentĂ© par l’IA, nommĂ© SIFT, pour dĂ©tecter des charges utiles anormales visant Ă  dĂ©sactiver les fonctionnalitĂ©s de sĂ©curitĂ© TrendMicro sur les routeurs ASUS. Cette activitĂ© a Ă©tĂ© dĂ©couverte initialement le 18 mars 2025, mais la divulgation publique a Ă©tĂ© retardĂ©e pour coordonner les dĂ©couvertes avec des partenaires gouvernementaux et industriels. L’attaque combine des mĂ©thodes anciennes et nouvelles, dĂ©butant par des attaques par force brute sur login.cgi, suivies d’exploitations de vulnĂ©rabilitĂ©s de contournement d’authentification plus anciennes. Une fois l’accĂšs privilĂ©giĂ© obtenu, les attaquants exploitent une vulnĂ©rabilitĂ© d’injection de commande pour crĂ©er un fichier vide Ă  /tmp/BWSQL_LOG, activant ainsi la journalisation BWDPI, une fonctionnalitĂ© TrendMicro intĂ©grĂ©e. ...

28 mai 2025 Â· 2 min
Derniùre mise à jour le: 13 juillet 2026 📝