Non Spécifié

Trend Micro dissèque une attaque du groupe Warlock combinant mouvement latéral, tunneling multi-outils, BYOVD via NSecKrnl.sys et déploiement de ransomware par GPO. 🔍 Contexte Cet article publié le 21 mars 2026 par Trend Micro Research constitue une analyse technique approfondie d’une campagne d’attaque attribuée au groupe Warlock. Il documente une chaîne d’attaque complète allant de l’accès initial jusqu’au déploiement de ransomware à l’échelle du domaine Active Directory. 🚪 Accès initial et mouvement latéral Suivant l’accès initial, les acteurs de la menace ont réalisé un mouvement latéral extensif via des outils d’administration légitimes et de l’abus de credentials : ...

Source: Huntress — Dans une analyse technique, Huntress SOC décrit des incidents survenus en février 2026 mettant en lumière l’exfiltration de données avec Restic (renommé en winupdate.exe), la désactivation d’outils de sécurité, puis le déploiement du ransomware INC. Le 25 février 2026, après un accès initial la veille, le threat actor a mappé un partage réseau (F:), utilisé PsExec pour s’élever en privilèges, puis créé une tâche planifiée « Recovery Diagnostics » exécutant un script PowerShell. Des commandes PowerShell encodées en base64 ont défini des variables d’environnement (AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY, RESTIC_REPOSITORY vers Wasabi S3, RESTIC_PASSWORD en clair « password ») avant d’appeler c:\windows\system32\winupdate.exe, qui est en réalité restic.exe renommé. Une commande suivante a lancé « backup –files-from C:\Users\Public\Documents\new.txt », suggérant l’utilisation d’une liste de fichiers, nécessitant vraisemblablement une connaissance préalable de l’environnement. ...

Selon BleepingComputer, des clients de restaurants dont l’encaissement repose sur la plateforme de point de vente (POS) HungerRush disent avoir reçu des e‑mails d’un acteur malveillant tentant d’extorquer l’entreprise. ⚠️ Le ou les expéditeurs menacent d’exposer des données si HungerRush ne répond pas. Les messages évoquent la possible divulgation de données de restaurants et de clients. Éléments clés: Type d’attaque: tentative d’extorsion par e‑mail avec menace de divulgation de données (data leak extortion) Impact potentiel: exposition de données concernant des restaurants et leurs clients 🍽️💾 Produits/secteurs concernés: plateforme POS HungerRush et l’écosystème de restauration IOCs (Indicateurs de compromission): ...

Source : Lukas Mäder – NZZ, décembre 2025 Selon les informations publiées par le journal suisse NZZ, des cyberattaques sophistiquées fin décembre 2025 ont visé des parties critiques du système électrique polonais, s’approchant dangereusement d’un blackout national. D’après les autorités polonaises, ces attaques auraient été coordonnées et planifiées, exploitant des vulnérabilités dans des équipements réseau connectés à Internet. Bien que les détails techniques exacts restent en cours d’analyse, la Pologne attribue ces activités à des acteurs russes, ce qui suscite des inquiétudes quant à une possible escalade cybernétique entre la Russie et l’OTAN. :contentReference[oaicite:0]{index=0} ...

Selon Have I Been Pwned, en décembre 2025, le site de rencontre suprémaciste « WhiteDate » (présenté comme « for a Europid vision ») a subi une fuite de données affectant 6 000 adresses email uniques. L’incident a entraîné l’exposition d’informations personnelles étendues au-delà des emails, notamment des données relatives à : L’apparence physique Les revenus Le niveau d’éducation Le QI L’ampleur mentionnée par HIBP précise un total d’environ 6 000 adresses email uniques. Aucune autre modalité technique de l’incident n’est détaillée dans l’extrait fourni (pas de vecteur, pas d’indicateur technique, pas de chronologie au-delà de décembre 2025). ...

Selon un billet de l’équipe HvS IR, un incident de ransomware mené par le groupe INC Ransom a tiré parti d’une vulnérabilité FortiGate de janvier 2025 (FG-IR-24-535), dans un contexte d’attaques typiques, de vulnérabilités connues et de mauvaises configurations. Faits saillants: Les assaillants ont délibérément détruit des données. Ils ont fourni de fausses informations lors des négociations 💬. L’environnement a été entièrement chiffré en 48 heures après l’accès initial 🔐. Vecteur et conditions d’exploitation: ...

Source: Huntress — Contexte: billet de blog décrivant un incident récent où le ransomware KawaLocker (KAWA4096) a été déployé dans un environnement client, avec chronologie, outils utilisés et «breadcrumbs» de détection. Huntress a observé début août un accès initial via RDP à l’aide d’un compte compromis (08/08). Le threat actor a déployé kill.exe et l’outil HRSword (Huorong) pour surveiller le système et identifier/neutraliser des outils de sécurité (usage de tasklist.exe | find). Des services Windows associés à ces solutions ont ensuite crashé. Deux drivers noyau signés Huorong — sysdiag.sys et hrwfpdr.sys — ont été installés puis supprimés via sc.exe (sc start/stop/delete), confirmant l’usage d’outils liés à Beijing Huorong Network Technology. ...

L’article publié par la société Cloudflare explique que les robots du service d’intelligence artificielle Perplexity utilisent des méthodes pour cacher qu’elle parcourent les sites web pour récupérer des informations. En changeant souvent leur « user agent » (l’identifiant qui indique normalement quel navigateur ou robot visite un site) et en utilisant différentes adresses IP et réseaux internet, Perplexity essaie d’éviter les blocages mis en place par les sites web qui ne veulent pas être visités par leurs robots. ...

L’article publié sur le blog ‘Embrace the Red’ le 3 août 2025, met en lumière une vulnérabilité découverte dans le serveur de fichiers MCP d’Anthropic, qui permettait aux systèmes d’IA tels que Claude Desktop de contourner les contrôles d’accès aux répertoires. La faille provenait d’une validation incorrecte des chemins d’accès dans la fonction validatePath du fichier index.ts, utilisant une comparaison .startsWith pour vérifier les chemins de fichiers par rapport à une liste de répertoires autorisés. Cette méthode échouait à garantir que les chemins représentaient de véritables répertoires, permettant ainsi l’accès à tout fichier ou répertoire partageant le même préfixe que les répertoires autorisés. ...

L’article publié par Darknet.org.uk met en lumière Argus, un nouvel outil de reconnaissance offensive qui vise à simplifier les opérations de renseignement en intégrant plusieurs fonctionnalités en un seul outil. Argus est conçu pour les professionnels de la cybersécurité qui mènent des opérations de reconnaissance offensive. Il regroupe des capacités d’OSINT (Open Source Intelligence), de scan DNS, de scan de ports, de détection SSL, ainsi que de détection de fuites de données. ...