Non Précisé

Selon TechCrunch, le collectif de pirates Scattered Lapsus$ Hunters revendique une brèche ayant affecté des données de clients de Salesforce et indique préparer une nouvelle campagne d’extorsion. Vol massif de données Salesforce touchant plus de 200 entreprises 1. Une compromission de supply chain à grande échelle Google a confirmé que des hackers ont exfiltré les données Salesforce de plus de 200 entreprises, via l’exploitation d’applications de Gainsight, un fournisseur CRM tiers connecté aux instances Salesforce de ses clients. ...

Source: The DFIR Report — Enquête technique détaillée sur une intrusion aboutissant au déploiement de Lynx ransomware dans un environnement Windows/AD, avec mouvement latéral, exfiltration de données et sabotage des sauvegardes. L’intrusion débute par un logon RDP réussi sur un hôte exposé, à l’aide d’identifiants déjà compromis (probablement via infostealer, réutilisation ou IAB). En 10 minutes, l’acteur passe sur un contrôleur de domaine avec un autre compte Domain Admin compromis, crée des comptes look‑alike (dont “administratr”) et les ajoute à des groupes privilégiés. Il installe AnyDesk pour la persistance (non réutilisé ensuite), cartographie l’infrastructure (Hyper‑V, partages) via SoftPerfect NetScan, puis fait une pause. ...

Selon Unit 42 (Palo Alto Networks), des chercheurs ont identifié « Airstalk », une nouvelle famille de malware Windows comportant des variantes PowerShell et .NET, utilisée pour des opérations furtives de commande et contrôle via l’API MDM d’AirWatch (Workspace ONE). — Découverte et attribution — • Famille: Airstalk (Windows). • Variantes: PowerShell et .NET. • Attribution: acteur étatique suivi comme CL-STA-1009 (confiance moyenne). • Vecteur probable: attaques supply chain ciblant des organisations de BPO (business process outsourcing). ...

Selon une communication de Jewett‑Cameron Trading Co. Ltd., l’entreprise a indiqué qu’un acteur malveillant a accédé sans autorisation à une partie de son environnement IT le 15 octobre 2025 et a revendiqué l’accès à certaines informations et données de l’entreprise. L’enquête interne, assistée par des experts externes, a établi à ce stade que l’incident a consisté en un accès non autorisé et le déploiement de logiciels de chiffrement et de surveillance par un tiers sur une portion des systèmes IT internes de l’entreprise 🔐. ...

Selon un communiqué de Fast Track, l’entreprise a subi début octobre une cyberattaque sophistiquée ayant spécifiquement ciblé deux clients opérant sur la Fast Track Platform. Faits clés: Nature: attaque ciblée contre des clients de la plateforme. Chronologie: détection de l’intrusion, arrêt immédiat de l’attaque, notification des parties affectées. Portée: l’incident est présenté comme isolé et limité à deux clients. L’entreprise indique que l’attaque a été interrompue dès sa détection et que les clients concernés ont été informés. ...

Selon des chercheurs de Trellix, de nouvelles versions du backdoor XWorm sont distribuées via des campagnes de phishing, alors que le développeur original, XCoder, a abandonné le projet l’an dernier. Le malware intègre désormais plus de 35 plugins qui étendent ses capacités, allant du vol d’informations sensibles jusqu’au chiffrement de fichiers (ransomware). 🧩 La fonctionnalité de chiffrement, fournie via Ransomware.dll, permet aux opérateurs de: définir un papier peint de bureau après le verrouillage des données, fixer le montant de la rançon, renseigner une adresse de portefeuille (wallet), indiquer un email de contact. 🔐 TTPs observés: ...

Selon The Record, Conor Fitzpatrick, alias ‘pompompurin’ et fondateur de BreachForums, passera trois ans en prison après qu’un tribunal a annulé une décision antérieure le plaçant en libération sous surveillance. Acteur clé: Conor Fitzpatrick (alias ‘pompompurin’) Plateforme liée: BreachForums Décision judiciaire: 3 ans de prison Évolution procédurale: le tribunal a annulé une précédente décision de libération surveillée ⚖️ Cette décision marque une étape judiciaire importante concernant une figure centrale d’un forum de cybercriminalité connu. ...

Selon At-Bay, dans un cas observé, un utilisateur a été piégé par un empoisonnement SEO et a téléchargé une version trojanisée de PuTTY.exe, ouvrant la voie à Rhysida pour obtenir l’accès et la persistance au sein du réseau. L’acteur s’est ensuite déplacé latéralement via RDP (Remote Desktop Protocol), et a effectué une découverte réseau en s’appuyant sur l’outil Advanced Port Scanner. La phase d’exfiltration a été réalisée via des commandes azcopy, transférant avec succès plus de 100 000 fichiers vers un stockage Azure contrôlé par l’attaquant 📤. ...

Selon BleepingComputer, Workiva, fournisseur SaaS cloud, a averti ses clients que des attaquants ayant obtenu un accès à un système de gestion de la relation client (CRM) tiers ont dérobé certaines de leurs données. ⚠️ Faits clés Type d’incident : accès non autorisé via un prestataire tiers (CRM) Impact : vol de certaines données clients Acteur/Surface affectée : clients de Workiva via un CRM externe Portée et éléments concernés Écosystème touché : SaaS Workiva en lien avec un CRM tiers. Détails opérationnels (fournisseur précis, volume de données, chronologie) : non communiqués dans l’extrait. IOCs et TTPs ...

Selon Varonis, une enquête a révélé la compromission d’un serveur web Linux exploitée pendant plusieurs mois via une vulnérabilité de téléversement de fichiers non restreint, due à une page d’upload mal configurée exposée sur Internet. L’acteur a pu téléverser des web shells PHP obfusqués 🐚. Bien que l’attaque ait été contenue par des restrictions réseau empêchant la communication externe des web shells, l’incident met en évidence des lacunes critiques, dont des systèmes non patchés, l’absence d’EDR et une segmentation réseau insuffisante. ...