Non Spécifié

🔍 Contexte Rapport d’incident publié le 11 mai 2026 par The DFIR Report, documentant une intrusion observée en avril 2026 et liée à une campagne précédemment rapportée par Atos en mars 2026. La famille de malware EtherRAT avait été initialement découverte par Sysdig en décembre 2025 ciblant des serveurs Linux via CVE-2025-55182 (React2Shell). 🎯 Vecteur d’accès initial Un utilisateur a exécuté un installeur MSI malveillant (RAMMap.msi) se faisant passer pour l’utilitaire Sysinternals RAMMap. Ce MSI a déployé une variante d’EtherRAT qui : ...

🔍 Contexte Publié le 23 avril 2026 par Mandiant / Google Threat Intelligence Group (GTIG), cet article documente une campagne d’intrusion multistade attribuée à un nouveau groupe de menace, UNC6692, détectée fin décembre 2025. 🎯 Vecteur initial et chaîne d’infection L’attaque débute par une campagne d’emails massifs destinée à saturer la boîte de réception de la victime, créant un sentiment d’urgence. L’attaquant contacte ensuite la victime via Microsoft Teams, en se faisant passer pour un employé du helpdesk IT, et l’incite à cliquer sur un lien de « patch anti-spam ». ...

🔍 Contexte Article publié le 16 avril 2026 par Puja Srivastava sur le blog Sucuri. Il s’agit d’une analyse technique issue d’une investigation de nettoyage de malware sur un site Joomla compromis, dont le propriétaire signalait l’apparition de liens produits suspects sans rapport avec son activité. 🧩 Mécanisme d’infection Les attaquants ont injecté un bloc de code PHP fortement obfusqué en tête du fichier index.php du site Joomla. Le code est structuré en quatre fonctions PHP : ...

Trend Micro dissèque une attaque du groupe Warlock combinant mouvement latéral, tunneling multi-outils, BYOVD via NSecKrnl.sys et déploiement de ransomware par GPO. 🔍 Contexte Cet article publié le 21 mars 2026 par Trend Micro Research constitue une analyse technique approfondie d’une campagne d’attaque attribuée au groupe Warlock. Il documente une chaîne d’attaque complète allant de l’accès initial jusqu’au déploiement de ransomware à l’échelle du domaine Active Directory. 🚪 Accès initial et mouvement latéral Suivant l’accès initial, les acteurs de la menace ont réalisé un mouvement latéral extensif via des outils d’administration légitimes et de l’abus de credentials : ...

Source: Huntress — Dans une analyse technique, Huntress SOC décrit des incidents survenus en février 2026 mettant en lumière l’exfiltration de données avec Restic (renommé en winupdate.exe), la désactivation d’outils de sécurité, puis le déploiement du ransomware INC. Le 25 février 2026, après un accès initial la veille, le threat actor a mappé un partage réseau (F:), utilisé PsExec pour s’élever en privilèges, puis créé une tâche planifiée « Recovery Diagnostics » exécutant un script PowerShell. Des commandes PowerShell encodées en base64 ont défini des variables d’environnement (AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY, RESTIC_REPOSITORY vers Wasabi S3, RESTIC_PASSWORD en clair « password ») avant d’appeler c:\windows\system32\winupdate.exe, qui est en réalité restic.exe renommé. Une commande suivante a lancé « backup –files-from C:\Users\Public\Documents\new.txt », suggérant l’utilisation d’une liste de fichiers, nécessitant vraisemblablement une connaissance préalable de l’environnement. ...

Selon BleepingComputer, des clients de restaurants dont l’encaissement repose sur la plateforme de point de vente (POS) HungerRush disent avoir reçu des e‑mails d’un acteur malveillant tentant d’extorquer l’entreprise. ⚠️ Le ou les expéditeurs menacent d’exposer des données si HungerRush ne répond pas. Les messages évoquent la possible divulgation de données de restaurants et de clients. Éléments clés: Type d’attaque: tentative d’extorsion par e‑mail avec menace de divulgation de données (data leak extortion) Impact potentiel: exposition de données concernant des restaurants et leurs clients 🍽️💾 Produits/secteurs concernés: plateforme POS HungerRush et l’écosystème de restauration IOCs (Indicateurs de compromission): ...

Source : Lukas Mäder – NZZ, décembre 2025 Selon les informations publiées par le journal suisse NZZ, des cyberattaques sophistiquées fin décembre 2025 ont visé des parties critiques du système électrique polonais, s’approchant dangereusement d’un blackout national. D’après les autorités polonaises, ces attaques auraient été coordonnées et planifiées, exploitant des vulnérabilités dans des équipements réseau connectés à Internet. Bien que les détails techniques exacts restent en cours d’analyse, la Pologne attribue ces activités à des acteurs russes, ce qui suscite des inquiétudes quant à une possible escalade cybernétique entre la Russie et l’OTAN. :contentReference[oaicite:0]{index=0} ...

Selon Have I Been Pwned, en décembre 2025, le site de rencontre suprémaciste « WhiteDate » (présenté comme « for a Europid vision ») a subi une fuite de données affectant 6 000 adresses email uniques. L’incident a entraîné l’exposition d’informations personnelles étendues au-delà des emails, notamment des données relatives à : L’apparence physique Les revenus Le niveau d’éducation Le QI L’ampleur mentionnée par HIBP précise un total d’environ 6 000 adresses email uniques. Aucune autre modalité technique de l’incident n’est détaillée dans l’extrait fourni (pas de vecteur, pas d’indicateur technique, pas de chronologie au-delà de décembre 2025). ...

Selon un billet de l’équipe HvS IR, un incident de ransomware mené par le groupe INC Ransom a tiré parti d’une vulnérabilité FortiGate de janvier 2025 (FG-IR-24-535), dans un contexte d’attaques typiques, de vulnérabilités connues et de mauvaises configurations. Faits saillants: Les assaillants ont délibérément détruit des données. Ils ont fourni de fausses informations lors des négociations 💬. L’environnement a été entièrement chiffré en 48 heures après l’accès initial 🔐. Vecteur et conditions d’exploitation: ...

Source: Huntress — Contexte: billet de blog décrivant un incident récent où le ransomware KawaLocker (KAWA4096) a été déployé dans un environnement client, avec chronologie, outils utilisés et «breadcrumbs» de détection. Huntress a observé début août un accès initial via RDP à l’aide d’un compte compromis (08/08). Le threat actor a déployé kill.exe et l’outil HRSword (Huorong) pour surveiller le système et identifier/neutraliser des outils de sécurité (usage de tasklist.exe | find). Des services Windows associés à ces solutions ont ensuite crashé. Deux drivers noyau signés Huorong — sysdiag.sys et hrwfpdr.sys — ont été installés puis supprimés via sc.exe (sc start/stop/delete), confirmant l’usage d’outils liés à Beijing Huorong Network Technology. ...