Posts

Source: fluxsec.red — Publication décrivant le plan du projet « Sanctum », un EDR open source en Rust, avec contexte, objectifs et choix techniques autour d’un driver Windows. 🛡️ Sanctum est un EDR expérimental open source visant à détecter des techniques de malware modernes, au‑delà des capacités d’un antivirus (AV). Le projet ambitionne de couvrir à la fois les rôles d’AV et d’EDR, et se présente comme une preuve de concept destinée à documenter l’apprentissage et la progression de l’auteur. ...

Selon Flashpoint (billet de blog), Scattered Spider est un collectif de cybercriminels principalement composé de jeunes adultes US/UK qui s’impose par des campagnes sophistiquées d’ingénierie sociale et des opérations de ransomware en double extorsion. Le groupe cible notamment les secteurs des services financiers, de la restauration et du retail, avec des attaques menées par vagues, misant davantage sur les faiblesses humaines que purement techniques. Leur chaîne d’attaque commence par de la social engineering (MITRE ATT&CK T1566) — vishing 📞, smishing, et attaques d’épuisement MFA — pour obtenir un accès initial, suivi de collecte d’identifiants à l’aide d’info-stealers comme Raccoon et Vidar. Ils abusent d’outils RMM légitimes (TeamViewer, AnyDesk, ScreenConnect) pour la persistance et les mouvements latéraux, et déploient des malwares personnalisés tels que Spectre RAT 🕷️, tout en s’appuyant sur des VPN/proxys cloud pour masquer leur infrastructure. ...

Selon Mend (référence: mend.io), une nouvelle voie d’attaque dite slopsquatting exploite la tendance des assistants de codage IA à proposer des dépendances inexistantes, que des attaquants enregistrent ensuite en packages malveillants, créant un risque majeur pour la supply chain logicielle. Un package halluciné a déjà cumulé plus de 30 000 téléchargements. L’étude, menée sur 16 LLMs et 500 000+ prompts, mesure des taux d’hallucination de packages allant de 3,59% (GPT-4 Turbo) à 33%+ (CodeLlama). Les modèles open-source affichent 21,7% en moyenne contre 5,2% pour les modèles commerciaux. Au total, 205 000+ noms de packages hallucinés ont été observés, dont 43% répétés de manière récurrente. ...

Selon blog.trailofbits.com, à l’issue de la DARPA AI Cyber Challenge (AIxCC), Trail of Bits annonce l’ouverture du code de Buttercup, son cyber reasoning system (CRS) arrivé deuxième de la compétition. 🎉 Buttercup est un système entièrement automatisé et assisté par l’IA pour la découverte et la correction de vulnérabilités dans des logiciels open source. Trail of Bits publie une version autonome fonctionnant sur un ordinateur portable « typique », ajustée à un budget IA réaliste pour des projets individuels, ainsi que les versions ayant participé aux demi-finales et à la finale d’AIxCC. Le code est disponible sur GitHub. ...

Source: Socket.dev (blog) — Contexte: tendances du secteur autour de la transparence open source et de l’évaluation fournisseurs. Le site « Is It Really FOSS? », créé par Dan Brown, aide à déterminer si des projets sont réellement libres et open source comme ils le revendiquent. Il vise à éclairer une landscape open source devenue complexe, où certaines entreprises entretiennent une image FOSS tout en restreignant les libertés des utilisateurs. ...

Source : Elcomsoft Blog — Dans un guide détaillé orienté forensique et réponse à incident, l’article explique l’exploitation de la base Windows SRUM pour retracer l’activité utilisateur et réseau sur une fenêtre glissante de 30 jours. 🔎 SRUM conserve des historiques sur l’usage d’applications et l’activité réseau utiles pour reconstruire des chronologies lors d’incidents. L’article présente ses capacités, ses limites et des méthodes pratiques d’accès/analyses adaptées aux enquêtes numériques. 🗂️ Sur le plan technique, la base SRUDB.dat repose sur le format ESE (Extensible Storage Engine) et journalise notamment : lancements de processus, connexions réseau, CPU, I/O disque, consommation énergétique. Les enregistrements incluent des noms de processus, emplacements de fichiers, comptes d’exécution, horodatages, ainsi que des métadonnées réseau (adresses IP, ports). ...

Selon BleepingComputer, une nouvelle campagne exploite un caractère Unicode pour rendre des liens de phishing visuellement similaires à des URL légitimes de Booking.com. Les attaquants utilisent le caractère japonais hiragana ん, qui peut, sur certains systèmes, s’afficher comme un slash, donnant l’illusion d’une structure d’URL authentique. Cette astuce vise à tromper l’utilisateur au premier coup d’œil 🎣🔤. L’objectif est d’amener les victimes à cliquer sur des liens qui paraissent fiables afin de distribuer des logiciels malveillants. L’usurpation de la marque Booking.com est au cœur de la supercherie. ...

Selon Cofense, une nouvelle campagne de rançongiciel exploite des comptes expéditeur compromis pour distribuer LeeMe en se faisant passer pour des outils légitimes SAP Ariba. Les victimes reçoivent des liens vers des archives protégées par mot de passe hébergées sur GoFile et sont induites en erreur par une fausse interface d’installation SAP Ariba et des instructions incitant à désactiver les protections de sécurité. Le malware combine plusieurs capacités offensives : chiffrement AES-256 de plus de 35 types de fichiers avec extensions aléatoires, keylogging (via la bibliothèque pynput), collecte d’identifiants à partir de fichiers contenant des mots-clés sensibles, et mécanismes de persistance (entrées d’exécution automatique et tâches planifiées). Il met aussi en œuvre un contournement de Windows Defender et la mise en place d’accès à distance via serveurs SSH/WINRM. ...

Source : Cymulate (blog) — Dans un billet signé Ruben Enkaoua (12 août 2025), Cymulate Research Labs détaille CVE-2025-50154, une vulnérabilité zero‑click de fuite d’identifiants NTLM qui contourne le correctif Microsoft de CVE-2025-24054 et affecte des systèmes entièrement patchés. • Découverte et portée. La nouvelle faille CVE-2025-50154 permet de déclencher une authentification NTLM sans interaction utilisateur et d’extraire des empreintes NTLMv2 sur des machines à jour. Le chercheur montre qu’en exploitant un angle mort du correctif d’avril, un attaquant peut provoquer des requêtes NTLM automatiques et s’en servir pour du craquage hors‑ligne ou des attaques par relais (NTLM relay), ouvrant la voie à élévation de privilèges, mouvements latéraux et potentielle RCE. ...

Selon NOS Nieuws (reprenant ANP), l’Openbaar Ministerie (OM) néerlandais confirme que des radars automatiques sont temporairement hors service à la suite du piratage subi à la mi-juillet, qui a conduit l’organisation à déconnecter tous ses systèmes d’Internet. Sont concernés: certains radars fixes, contrôles de vitesse moyenne (trajectcontroles) et radars flexibles le long des autoroutes A et des routes nationales N. 🚗📷 L’OM précise que les radars eux‑mêmes n’ont pas été piratés. En revanche, à cause de la déconnexion générale, l’organisation ne peut pas rallumer ceux qui avaient été éteints selon les procédures habituelles (par exemple pour une inspection ou un déplacement), et n’essaie pas de le faire tant que la situation de sécurité n’est pas rétablie. ...