International

Source: Huntress (billet de blog). Contexte: Huntress explique qu’un acteur de menace a lancé un essai et installé l’agent EDR sur sa propre machine, permettant à l’équipe SOC d’observer directement ses activités et d’alimenter des détections, tout en rappelant le cadre de transparence et de confidentialité associé à la télémétrie EDR. Huntress a identifié que l’hôte était malveillant en corrélant un nom de machine déjà vu sur plusieurs incidents et des signaux de comportement suspect. L’analyse a relié l’infrastructure primaire de l’adversaire (hébergée sur l’AS « 12651980 CANADA INC. », désormais VIRTUO) à un schéma d’accès touchant plus de 2 471 identités sur deux semaines, avec des activités incluant la création de règles mail malveillantes et le vol/rafraîchissement de tokens de session. Des chasses rétroactives ont aussi révélé 20 identités compromises supplémentaires, plusieurs déjà accédées avant le déploiement de Huntress. ...

Selon Trend Micro, des cybercriminels et acteurs étatiques détournent les fonctionnalités légitimes de Microsoft Power Automate pour mener des opérations discrètes, profitant de l’essor de l’automatisation et de lacunes de visibilité dans les environnements Microsoft 365. • Constat principal : des fonctionnalités natives et connecteurs de Power Automate sont utilisées pour des activités de Living off the Land, facilitant la fuite de données, la persistance, le contournement des contrôles, le Business Email Compromise (BEC), le soutien à des campagnes de ransomware et des opérations d’espionnage. ...

Source: The DFIR Report (Threat Brief initial publié en mars 2025). Contexte: une intrusion démarrée en septembre 2024 par exécution d’un faux installeur EarthTime, conduisant au déploiement de SectopRAT, puis SystemBC pour le tunneling/proxy, et plus tard du backdoor Betruger. L’attaquant a réalisé reconnaissance, escalade, mouvements latéraux via RDP/Impacket, collecte et exfiltration de données, avant éjection, avec des indices reliant Play, RansomHub et DragonForce. • Point d’entrée et persistance: exécution d’un binaire EarthTime.exe signé avec un certificat révoqué, injectant SectopRAT via MSBuild.exe. Persistance par BITS (copie vers Roaming/QuickAgent2 en ChromeAlt_dbg.exe + lien Startup), création d’un compte local “Admon” (Qwerty12345!) avec privilèges admin. Déploiement de SystemBC (WakeWordEngine.dll/conhost.dll) depuis C:\Users\Public\Music\ via rundll32. ...

SecurityWeek rapporte que Cloudflare a annoncé avoir bloqué la plus grande attaque DDoS jamais enregistrée, culminant à 11,5 Tbps, principalement un UDP flood, avec un débit de 5,1 milliards de paquets par seconde (Bpps) et d’une durée d’environ 35 secondes. Un premier message indiquait une origine majoritairement liée à Google Cloud, avant une mise à jour précisant que Google Cloud n’était qu’une source parmi d’autres, aux côtés de plusieurs fournisseurs IoT et cloud. 🛡️ ...

Selon BleepingComputer, des attaquants abusent des invitations iCloud Calendar pour expédier des emails de phishing “callback” déguisés en notifications d’achat, en s’appuyant sur les serveurs d’email d’Apple afin d’augmenter les chances de contournement des filtres anti-spam et d’atteindre la boîte de réception des cibles. Ces envois prennent la forme d’invitations de calendrier iCloud, qui arrivent sous couvert de notifications légitimes et miment des achats afin d’inciter les victimes à appeler un numéro (callback) ou à interagir. ...

Selon Socket (blog de recherche), l’équipe Threat Research a identifié une attaque coordonnée de la chaîne d’approvisionnement via quatre paquets npm se faisant passer pour des utilitaires crypto et Flashbots, visant les développeurs Web3, les chercheurs MEV et les opérateurs DeFi, avec un risque de pertes financières immédiates et irréversibles. — Détails clés — Type d’attaque : supply chain sur l’écosystème npm avec usurpation d’outils légitimes (crypto/Flashbots). Cible : développeurs Web3, MEV searchers, opérateurs DeFi. Impact : vol d’identifiants et de clés privées de portefeuilles, exfiltrés vers une infrastructure Telegram contrôlée par l’attaquant. — Vecteurs et techniques — ...

Selon StepSecurity (billet de blog), des chercheurs ont mis au jour la campagne GhostAction, une attaque coordonnée exploitant des workflows GitHub Actions malveillants pour exfiltrer des secrets CI/CD à grande échelle. L’attaque repose sur des workflows GitHub Actions injectés et déguisés en améliorations de sécurité, déclenchés sur push et workflow_dispatch. Chaque workflow contenait des commandes curl qui envoyaient les secrets du dépôt vers un point de collecte contrôlé par l’attaquant. ...

Selon Cyber Security News, des chercheurs en sécurité ont mis au jour une opération IPTV illicite à grande échelle s’appuyant sur plus de 1 100 domaines et 10 000 adresses IP pour diffuser des contenus premium non autorisés. L’opération est attribuée à des entités dont XuiOne, Tiyansoft et l’individu Nabi Neamati. Elle s’appuie sur des panneaux de contrôle compromis et une infrastructure à rotation rapide pour résister aux tentatives de démantèlement. L’impact est l’hébergement et la distribution non autorisés de flux premium à grande échelle. 🛰️ ...

Source: BleepingComputer (Sergiu Gatlan). L’article rapporte que Workiva a informé ses clients d’un vol de données limité via un CRM tiers, incident qui s’inscrit dans la récente série de brèches Salesforce attribuées au groupe d’extorsion ShinyHunters. • Données touchées chez Workiva: noms, adresses e‑mail, numéros de téléphone et contenus de tickets de support. Workiva précise que sa plateforme et les données qu’elle héberge n’ont pas été accédées et que l’accès est venu via une application tierce connectée. L’entreprise met en garde contre un risque de spear‑phishing et rappelle ses canaux officiels de contact. ...

Contexte: BleepingComputer rapporte que sur X, des acteurs malveillants utilisent l’assistant IA intégré Grok pour contourner des restrictions de publication de liens mises en place afin de réduire la publicité malveillante. Des acteurs malveillants exploitent Grok, l’assistant IA d’X, pour contourner les restrictions de publication de liens destinées à limiter la publicité malveillante. 🤖🔗🚫 Cette utilisation abusive permet de faire passer des liens malgré les limitations imposées par la plateforme, sapant les efforts de modération déployés pour réduire les campagnes publicitaires nuisibles. ...