Non Spécifié

Cette anaylyse de réponse d’incident rapporte une attaque de cybersécurité où un acteur malveillant a exploité une vulnérabilité connue (CVE-2023-22527) sur un serveur Confluence exposé à Internet, permettant une exécution de code à distance. Après avoir obtenu cet accès initial, l’attaquant a exécuté une séquence de commandes, incluant l’installation d’AnyDesk, l’ajout d’utilisateurs administrateurs et l’activation de RDP. Ces actions répétées suggèrent l’utilisation de scripts d’automatisation ou d’un playbook. Des outils tels que Mimikatz, ProcessHacker et Impacket Secretsdump ont été utilisés pour récolter des identifiants. L’intrusion a culminé avec le déploiement du ransomware ELPACO-team, une variante de Mimic, environ 62 heures après l’exploitation initiale de Confluence. ...

L’article publié par G Data relate une mésaventure vécue par Cameron Coward, un Youtubeur connu pour sa chaîne Serial Hobbyism. En testant une imprimante 3D Procolored d’une valeur de 6000 dollars, il a découvert un malware sur le logiciel fourni via une clé USB. Lorsqu’il a connecté la clé USB contenant le logiciel de l’imprimante, son antivirus a détecté un ver se propageant par USB et une infection Floxif. Floxif est un infecteur de fichiers qui s’attache aux fichiers exécutables portables, se propageant ainsi aux partages réseau, aux périphériques amovibles comme les clés USB, ou aux systèmes de sauvegarde. ...

Selon un article publié par Deep Instinct, une nouvelle technique d’évasion utilisant des expressions régulières (regex) dans des attaques basées sur Microsoft Office a été découverte. Les documents Office sont souvent utilisés dans les cyberattaques en raison de leur fiabilité apparente et de leur capacité à intégrer du code malveillant. Les documents Office peuvent exploiter des techniques avancées telles que l’injection de modèles distants et les macros obfusquées, permettant aux attaquants de contourner la détection des antivirus et de déployer des charges utiles en plusieurs étapes, telles que des ransomwares ou des logiciels de vol d’informations. ...

L’article met en lumière une nouvelle méthode d’attaque identifiée par des chercheurs en sécurité qui cible les systèmes de protection des endpoints. Cette attaque est particulièrement sophistiquée, car elle parvient à désactiver la protection offerte par SentinelOne, une solution de sécurité largement utilisée pour protéger les endpoints contre les menaces. En contournant cette protection, les attaquants peuvent déployer le ransomware Babuk, connu pour chiffrer les données des victimes et exiger une rançon. ...

L’article publié par TechCrunch rapporte une violation de données impliquant GlobalX Airline, revendiquée par des hackers se déclarant membres du groupe hacktiviste Anonymous. Anonymous, un collectif bien connu pour ses actions de piratage à des fins politiques et sociales, a affirmé être à l’origine de cette attaque. Le groupe est souvent impliqué dans des cyberattaques visant à dénoncer des pratiques qu’il juge immorales ou injustes. L’article ne fournit pas de détails spécifiques sur la nature des données compromises ni sur l’ampleur de la fuite. Cependant, l’implication d’un groupe aussi notoire que Anonymous souligne la gravité potentielle de l’incident et pourrait avoir des répercussions importantes pour GlobalX Airline. ...