International

Selon Imperva (blog), une analyse de l’efficacité de l’Opération Eastwood contre le groupe hacktiviste pro-russe NoName057(16) montre une perturbation temporaire suivie d’une reprise accélérée des activités. • Impact global: l’opération internationale a saisi plus de 100 serveurs et arrêté des membres clés, imposant une courte pause opérationnelle. Toutefois, le groupe a repris avec une augmentation de 80% du volume d’attaques, la formation de nouvelles alliances et l’extension des cibles aux pays impliqués dans le démantèlement. Le bilan met en évidence la valeur mais aussi les limites des actions de perturbation coordonnées. ...

Selon le blog zsec.uk, cet article décrit le développement de pyLDAPGui, un outil GUI multiplateforme destiné à combler les limites de l’Active Directory Explorer (réservé à Windows) et à s’intégrer aux workflows d’analyse de sécurité. • Présentation générale pyLDAPGui est un navigateur LDAP avec interface graphique permettant la navigation en arborescence et l’export des données vers des formats compatibles BloodHound ainsi que CSV. L’outil vise à faciliter l’exploration des annuaires et s’intègre directement à Neo4j pour les analyses de sécurité. • Caractéristiques techniques ...

Selon un billet du blog BushidoToken, le projet Ransomware Tool Matrix déploie un système de Community Reports destiné à faciliter la contribution d’observations de threat intelligence liées aux groupes de ransomware sans obligation de citations publiques. Le dispositif repose sur un gabarit Markdown structuré hébergé sur GitHub, permettant aux contributeurs de documenter l’usage des outils et tactiques de groupes ransomware via des pull requests ou des soumissions via fork. 🧰 L’initiative vise à combler le fossé entre les connaissances issues d’investigations privées (DFIR) et l’intelligence publique, en offrant un format normalisé pour les acteurs tels que prestataires DFIR, MSSP, éditeurs EDR et chercheurs sécurité. 🤝 ...

Selon Unit 42 (Palo Alto Networks), cet article examine les risques critiques liés aux tokens OAuth mal gérés dans les environnements cloud, en s’appuyant sur des cas récents comme l’incident Salesloft Drift. L’analyse montre que des tokens OAuth compromis peuvent contourner les défenses traditionnelles et faciliter des attaques de supply chain via des intégrations tierces. Les usages malveillants de ces tokens permettent un accès persistant et silencieux aux ressources cloud, en dehors des contrôles classiques. 🔐🔗 ...

Selon BleepingComputer, un acteur malveillant nommé WhiteCobra a ciblé les utilisateurs de VSCode, Cursor et Windsurf en publiant 24 extensions malveillantes sur la Visual Studio Marketplace et le registre Open VSX. Type d’attaque: diffusion d’extensions malveillantes via des marketplaces d’extensions. Cibles: utilisateurs de VSCode, Cursor et Windsurf. Canaux de distribution: Visual Studio Marketplace et Open VSX. Volume: 24 extensions identifiées comme malveillantes. Cette information met en lumière une campagne visant les écosystèmes d’extensions d’éditeurs de code populaires, en s’appuyant sur des plateformes de distribution officielles. ...

Selon Rapid7 et des informations communiquées par SonicWall, une campagne de ransomware Akira a démarré le mois dernier en ciblant des appliances SonicWall. SonicWall a publié un avis de sécurité et a précisé par la suite que ces intrusions sont liées à la vulnérabilité d’août 2024 SNWLID-2024-0015, pour laquelle les étapes de remédiation n’ont pas été correctement complétées. 🚨 Rapid7 indique avoir envoyé des communications d’alerte de menace à ses clients afin de prioriser l’application des correctifs. Depuis ces communications, l’équipe Incident Response (IR) de Rapid7 rapporte une augmentation des intrusions impliquant des équipements SonicWall. ...

Selon Cisco Talos Incident Response (Talos IR), dans une rétrospective couvrant janvier 2023 à juin 2025, l’équipe a analysé de nombreuses interventions classées comme incidents pré‑ransomware pour identifier ce qui a permis d’empêcher le déploiement effectif de ransomware. Principaux enseignements ⏱️🛡️ Engagement rapide avec l’équipe de réponse à incident (IR). Actionnement rapide des alertes issues des solutions de sécurité, majoritairement dans les deux heures suivant l’alerte. Talos IR a également classifié près de deux douzaines d’indicateurs pré‑ransomware observés. Les tactiques les plus fréquentes relevées offrent un aperçu des activités malveillantes qui précèdent souvent une attaque plus sévère. ...

Source: Elliptic (blog) — Dans un guide orienté « Security Operations », Elliptic présente des cadres pratiques pour aider les enquêteurs gouvernementaux à conduire des investigations sur les cryptomonnaies, en s’appuyant sur la transparence des blockchains. Le document met en avant deux approches complémentaires: l’enquête par relations (analyse des connexions entre portefeuilles) et le suivi chronologique (traquer des transactions illicites spécifiques dans le temps). Il insiste sur une démarche systématique plutôt que sur des compétences techniques avancées, et sur le caractère traçable et pérenne des journaux blockchain exploitable par les forces de l’ordre. ...

Selon un article de presse spécialisé BleepingComputer, une faiblesse de l’éditeur de code Cursor expose les développeurs à un risque d’exécution automatique de tâches lorsqu’un dépôt malveillant est ouvert. Le problème décrit touche le comportement de Cursor face à certains dépôts: à l’ouverture d’un dépôt malveillant, des tâches peuvent se lancer automatiquement, sans intervention de l’utilisateur, créant un risque immédiat pour l’environnement de développement. Points clés: Produit concerné: éditeur de code Cursor Nature du problème: faiblesse entraînant l’exécution automatique de tâches Scénario de menace: ouverture d’un dépôt malveillant qui déclenche ces tâches Impact potentiel: exposition des développeurs à des actions non sollicitées dès l’ouverture du dépôt IOCs: non indiqués dans l’extrait. ...

Selon BleepingComputer, SAP a publié son bulletin sécurité de septembre détaillant 21 nouvelles vulnérabilités, dont trois failles critiques affectant principalement SAP NetWeaver. NetWeaver est le socle de multiples apps SAP (ERP, CRM, SRM, SCM) et est largement déployé en entreprise. 🔴 CVE-2025-42944 (CVSS 10.0) — Désérialisation non sécurisée dans SAP NetWeaver (RMIP4), ServerCore 7.50. Un attaquant non authentifié peut exécuter des commandes OS arbitraires en envoyant un objet Java malveillant via le module RMI-P4 vers un port ouvert. Le protocole RMI-P4, utilisé par NetWeaver AS Java pour la communication interne SAP-to-SAP ou l’administration, peut être exposé au-delà de l’hôte (voire à Internet) en cas de mauvaise configuration réseau (pare-feu, etc.). ...