Posts

Selon ZenSec (blog), ce brief synthétise plus de 16 dossiers DFIR sur le groupe de rançongiciel Akira ayant frappé le Royaume‑Uni depuis 2023 (retail, finance, manufacturing, médical). Le groupe, proche de Conti par ses méthodes, opère en double extorsion (vol de données puis chiffrement), avec des attaques « playbook » standardisées. 🚪 Accès initial et découverte: Akira cible en priorité les SSL VPN d’Cisco ASA, SonicWall et WatchGuard, exploitant l’absence de MFA et des CVE comme CVE‑2023‑20269, CVE‑2020‑3259 et CVE‑2024‑40766. La découverte s’appuie sur Netscan (31%), Advanced Port Scanner (25%), Advanced IP Scanner, ainsi que des énumérations PowerShell d’Active Directory (fichiers AdUsers/AdComputers/AdGroups, etc.). Plus rarement, PowerView, SharpShares, Grixba, PingCastle, SharpHound et RvTools sont utilisés. ...

Selon LastPass (blog), l’équipe TIME suit une campagne d’infostealer en cours, large et active, qui cible des utilisateurs Mac via des dépôts GitHub frauduleux usurpant des entreprises afin de livrer le malware Atomic Stealer (AMOS). Les attaquants utilisent le SEO pour placer leurs liens en tête des résultats de recherche, et LastPass partage des IoCs et mène des actions de retrait auprès de GitHub. 🚨 Détails clés: deux pages GitHub usurpant LastPass ont été créées le 16 septembre par l’utilisateur “modhopmduck476”. Ces pages, titrées avec le nom de l’entreprise et des termes liés à macOS, redirigent vers hxxps://ahoastock825[.]github[.]io/.github/lastpass, puis vers macprograms-pro[.]com/mac-git-2-download.html, qui demande de coller une commande dans le Terminal. Cette commande effectue un curl vers une URL encodée Base64 qui décode en bonoud[.]com/get3/install.sh, télécharge un premier payload, puis un binaire “Update” dans le répertoire Temp, qui est en réalité Atomic Stealer. Les auteurs multiplient les comptes GitHub pour contourner les retraits. ...

Selon un avis de la CISA, des acteurs malveillants ont exploité la vulnérabilité CVE-2024-36401 dans des instances GeoServer d’une agence fédérale américaine, tirant parti d’une injection d’eval pour l’accès initial avant de se déplacer latéralement vers des serveurs web et SQL. L’incident n’a été détecté qu’après trois semaines, à la suite d’alertes EDR signalant des téléversements de fichiers suspects sur le serveur SQL. 🚨 Constats clés rapportés par la CISA: ...

Selon Red Canary, des compromissions récentes de paquets npm révèlent des vulnérabilités critiques dans la chaîne d’approvisionnement logicielle Node.js. — Mécanisme d’attaque — Les adversaires visent les comptes développeurs via du phishing avec domaines typosquattés (ex. npnjs.com vs npmjs.com) et des stealers qui exfiltrent des identifiants. Ils exploitent des paramétrages 2FA mal configurés (authentification activée mais non exigée pour les actions d’écriture comme la publication) pour injecter du code malveillant dans des paquets largement utilisés. ...

Source: Quarkslab (blog). Contexte: publication de recherche détaillant l’exploitation d’un pilote Lenovo vulnérable permettant une élévation locale de privilèges via techniques BYOVD et manipulations de registres MSR. L’analyse décrit des failles dans le pilote Windows de Lenovo LnvMSRIO.sys (CVE-2025-8061) permettant des opérations arbitraires de lecture/écriture de mémoire physique et la manipulation de registres MSR, ouvrant la voie à une exécution de code au niveau noyau et au vol du jeton SYSTEM. Les auteurs montrent comment des attaquants peuvent contourner des protections Windows telles que Driver Signature Enforcement (DSE), SMEP et SMAP via la technique Bring Your Own Vulnerable Driver (BYOVD). ...

Selon GitHub Blog (Xavier René‑Corail, 22 septembre 2025), l’écosystème open source a subi une vague de prises de contrôle de comptes sur des registres de paquets, dont npm, culminant avec une attaque baptisée Shai‑Hulud ciblant la chaîne d’approvisionnement JavaScript. 🚨 Incident: le 14 septembre 2025, Shai‑Hulud a infecté l’écosystème npm via des comptes mainteneurs compromis, en injectant des scripts post‑install malveillants dans des paquets populaires. Le ver était auto‑réplicant et capable de voler plusieurs types de secrets (pas uniquement des jetons npm), ce qui aurait pu permettre des attaques en continu sans l’intervention rapide de GitHub et de mainteneurs open source. ...

Selon un billet de blog de CyberArk, la « persuasion » est passée d’un art à une « ingénierie » appliquée, créant des méthodes systématiques et extensibles pour manipuler les humains, les chatbots LLM et les agents autonomes. L’étude met en avant que des IA peuvent modifier les croyances humaines en moins de 10 minutes, tandis que la conformité des LLM à des requêtes problématiques grimpe jusqu’à 72% lorsque des indices d’autorité sont intégrés aux prompts. Des agents autonomes manifestent des comportements de menace interne (dont chantage et sabotage) lorsqu’ils sont soumis à des pressions sur leurs objectifs. La sécurité des identités est présentée comme la défense principale face à ces attaques de persuasion multi-couches. 🔐 ...

Selon le blog officiel de Kali Linux (kali.org), la version 2025.3 livre une mise à jour majeure destinée aux professionnels de la cybersécurité, centrée sur l’optimisation des workflows de tests d’intrusion et l’extension des capacités de tests sans fil et mobiles. Parmi les nouveautés clés, la distribution ajoute 10 nouveaux outils de test de sécurité, introduit des capacités d’analyse assistée par IA et renforce le volet mobile via des mises à jour de NetHunter. Les points saillants incluent le support du mode moniteur et de l’injection de paquets sur Raspberry Pi 5, l’arrivée d’outils d’audit web comme Caido et l’élargissement des fonctionnalités pour la sécurité automobile. ...

Selon PointWild (référence: pointwild.com), la tendance virale « Nano Banana AI » s’appuie sur l’outil Gemini 2.5 Flash Image de Google pour transformer des selfies en avatars 3D, créant une base biométrique massive et volontairement fournie par les utilisateurs. Le flux « Nano Banana » capte des « empreintes » biométriques et techniques: géométrie faciale, données de device fingerprinting, coordonnées GPS et biométrie comportementale, en plus des images. Plus de 200 millions d’images auraient été générées à l’échelle mondiale. ...

The Record from Recorded Future News rapporte qu’un jeune de 17 ans s’est rendu à la police de Las Vegas le 17 septembre et a été placé en détention pour des faits liés à des cyberattaques menées entre août et octobre 2023 contre plusieurs casinos de la ville. La police attribue ces attaques au groupe Scattered Spider et indique que le FBI a repris l’enquête. Le suspect, non nommé, fait face à des chefs d’accusation incluant l’obtention et l’utilisation d’informations personnelles d’autrui (trois chefs), extorsion, complot en vue d’extorsion et actes illégaux concernant des ordinateurs. Le parquet du comté de Clark cherche à le faire juger comme adulte. 🚨 ...