Non Spécifié

L’article publié le 20 juin 2025 explore les activités d’un acteur de menace connu sous le nom de Tinker, qui a rejoint le groupe de ransomware Black Basta en tant que directeur créatif en 2023. Ce rôle atypique pour un groupe de ransomware souligne l’importance des compétences de Tinker en matière de génération d’idées originales. Tinker a joué un rôle crucial dans le fonctionnement à grande échelle de Black Basta. Ses compétences incluaient l’exploitation de centres d’appels, la rédaction de contenu pour des campagnes de phishing, et l’utilisation de la coercition pour faire pression sur les victimes de ransomware. Ces capacités ont permis à Black Basta d’améliorer l’efficacité de leurs opérations malveillantes. ...

Dans un article publié sur le Frycos Security Diary, un analyste en cybersécurité partage sa découverte d’une variante de vulnérabilité Nday sur le Zyxel NWA50AX Pro, un point d’accès WiFi 6 destiné aux petites entreprises. L’analyste, en vacances, a exploré le firmware de l’appareil et a découvert une configuration du serveur lighttpd permettant l’accès non authentifié à certains endpoints CGI. En analysant les fichiers de configuration et en testant les réponses HTTP, il a pu accéder à des fichiers CGI sans authentification, révélant une potentielle faille de sécurité. ...

L’article publié par CloudSEK via la plateforme BeVigil révèle une faille de sécurité critique chez un géant de l’aviation, impliquant une API non sécurisée dans un fichier JavaScript. Cette vulnérabilité a permis un accès non autorisé aux données sensibles de Microsoft Graph de plus de 50 000 utilisateurs Azure AD, y compris des cadres exécutifs. L’API exposée délivrait un jeton d’accès avec des permissions excessives telles que User.Read.All et AccessReview.Read.All, ouvrant la voie à des attaques par hameçonnage et à l’usurpation d’identité. ...

Cette anaylyse de réponse d’incident rapporte une attaque de cybersécurité où un acteur malveillant a exploité une vulnérabilité connue (CVE-2023-22527) sur un serveur Confluence exposé à Internet, permettant une exécution de code à distance. Après avoir obtenu cet accès initial, l’attaquant a exécuté une séquence de commandes, incluant l’installation d’AnyDesk, l’ajout d’utilisateurs administrateurs et l’activation de RDP. Ces actions répétées suggèrent l’utilisation de scripts d’automatisation ou d’un playbook. Des outils tels que Mimikatz, ProcessHacker et Impacket Secretsdump ont été utilisés pour récolter des identifiants. L’intrusion a culminé avec le déploiement du ransomware ELPACO-team, une variante de Mimic, environ 62 heures après l’exploitation initiale de Confluence. ...

L’article publié par G Data relate une mésaventure vécue par Cameron Coward, un Youtubeur connu pour sa chaîne Serial Hobbyism. En testant une imprimante 3D Procolored d’une valeur de 6000 dollars, il a découvert un malware sur le logiciel fourni via une clé USB. Lorsqu’il a connecté la clé USB contenant le logiciel de l’imprimante, son antivirus a détecté un ver se propageant par USB et une infection Floxif. Floxif est un infecteur de fichiers qui s’attache aux fichiers exécutables portables, se propageant ainsi aux partages réseau, aux périphériques amovibles comme les clés USB, ou aux systèmes de sauvegarde. ...

Selon un article publié par Deep Instinct, une nouvelle technique d’évasion utilisant des expressions régulières (regex) dans des attaques basées sur Microsoft Office a été découverte. Les documents Office sont souvent utilisés dans les cyberattaques en raison de leur fiabilité apparente et de leur capacité à intégrer du code malveillant. Les documents Office peuvent exploiter des techniques avancées telles que l’injection de modèles distants et les macros obfusquées, permettant aux attaquants de contourner la détection des antivirus et de déployer des charges utiles en plusieurs étapes, telles que des ransomwares ou des logiciels de vol d’informations. ...

L’article met en lumière une nouvelle méthode d’attaque identifiée par des chercheurs en sécurité qui cible les systèmes de protection des endpoints. Cette attaque est particulièrement sophistiquée, car elle parvient à désactiver la protection offerte par SentinelOne, une solution de sécurité largement utilisée pour protéger les endpoints contre les menaces. En contournant cette protection, les attaquants peuvent déployer le ransomware Babuk, connu pour chiffrer les données des victimes et exiger une rançon. ...

L’article publié par TechCrunch rapporte une violation de données impliquant GlobalX Airline, revendiquée par des hackers se déclarant membres du groupe hacktiviste Anonymous. Anonymous, un collectif bien connu pour ses actions de piratage à des fins politiques et sociales, a affirmé être à l’origine de cette attaque. Le groupe est souvent impliqué dans des cyberattaques visant à dénoncer des pratiques qu’il juge immorales ou injustes. L’article ne fournit pas de détails spécifiques sur la nature des données compromises ni sur l’ampleur de la fuite. Cependant, l’implication d’un groupe aussi notoire que Anonymous souligne la gravité potentielle de l’incident et pourrait avoir des répercussions importantes pour GlobalX Airline. ...