Posts

Source : Gal Bar Nahum’s Blog — Le 13 août 2025, le chercheur Gal Bar Nahum a dévoilé « MadeYouReset » (CVE‑2025‑8671), une vulnérabilité HTTP/2 de type déni de service qui exploite les mécanismes de contrôle de flux/erreurs du protocole pour contourner les limites de concurrence, en collaboration avec Prof. Anat Bremler‑Barr et Yaniv Harel (Université de Tel-Aviv), avec le soutien partiel d’Imperva. 🛑 Principe clé: MadeYouReset s’appuie sur l’idée de « Rapid Reset » (2023) mais avec un twist: au lieu que le client annule la requête, l’attaquant provoque des erreurs de flux afin que le serveur émette un RST_STREAM après le démarrage d’une requête valide. Comme les flux réinitialisés ne comptent plus dans MAX_CONCURRENT_STREAMS, le serveur poursuit souvent le travail backend (calcul de réponse) malgré la fermeture du flux côté HTTP/2, ce qui permet de créer un nombre non borné de travaux concurrents et d’induire un DoS. ...

Selon Chainalysis, l’OFAC americaine a sanctionné plusieurs entités associées au réseau de stablecoin A7A5 lié au rouble, dont la société kirghize Old Vector et l’exchange Grinex. Le jeton est garanti par des dépôts au sein de la banque russe sanctionnée Promsvyazbank (PSB) et s’inscrit dans un effort systématique visant à bâtir une infrastructure financière alternative pour contourner les sanctions via les mixeurs crypto. Sur le plan technique, A7A5 opère sur les blockchains Tron et Ethereum. L’analyse on-chain met en évidence des connexions directes entre les exchanges sanctionnés Garantex et Grinex à travers des transferts de tokens et une infrastructure partagée. Le DEX A7A5 permet des échanges vers des stablecoins grand public, créant des ponts vers l’écosystème crypto plus large 🔗. ...

Selon TRM Labs, l’OFAC (U.S. Treasury) a sanctionné des figures clés derrière l’échange crypto Garantex, son successeur Grinex, ainsi que le jeton A7A5 adossé au rouble, utilisé pour contourner les sanctions. L’enquête révèle une planification avancée : Grinex a été établi au Kirghizstan des mois avant le démantèlement de Garantex en mars 2025, et le réseau a facilité des centaines de millions de dollars de transactions illicites, dont des produits de ransomware (Conti, LockBit, Ryuk) et des flux provenant de darknet markets. ...

Selon Censys (billet de blog), PolarEdge est un botnet IoT soupçonné d’opérer comme un réseau ORB (Operational Relay Box), ayant compromis près de 40 000 appareils depuis 2023 et s’appuyant sur un backdoor TLS personnalisé. • Nature et portée 📡 PolarEdge met en place une infrastructure de proxy résidentiel à long terme pour des opérations malveillantes, en maintenant une faible visibilité via des ports élevés et un chiffrement légitime. La concentration géographique est élevée en Corée du Sud (51,6 %) et aux États‑Unis (21,1 %). ...

Selon politico.eu, le Service de sécurité de la police norvégienne (PST) soupçonne des hackers pro‑russes d’avoir saboté un barrage dans le sud‑ouest de la Norvège en avril, dans le cadre des opérations cyber liées à la guerre hybride. Le quotidien VG rapporte que les assaillants ont compromis le système de contrôle du barrage et ouvert des vannes pendant environ quatre heures, provoquant un important déversement d’eau avant que les vannes ne soient refermées. Le barrage se situe à Bremanger, à environ 150 km au nord de Bergen, et n’est pas utilisé pour la production d’énergie. ...

Source : Trustwave (SpiderLabs Blog). Dans cette publication, des chercheurs présentent une méthodologie complète pour analyser le malware SnakeKeylogger et élaborer des signatures de détection efficaces. Ils montrent comment le code malveillant contourne des règles existantes en encodant en Base64 des données exfiltrées via SMTP, et proposent un flux de travail pratique pour collecter des IOC et affiner continuellement les signatures. 🔬 Comportement réseau et évasion : l’analyse met en évidence des connexions vers des IP malveillantes sur les ports 80, 443 et 587, et l’usage de l’encodage Base64 dans le trafic SMTP afin de contourner les règles de détection. ...

Selon Commsrisk (commsrisk.com), une conférence de presse conjointe de la Technology Crime Suppression Division (police thaïlandaise) et d’AIS a annoncé l’arrestation de deux jeunes hommes et la saisie d’un « SMS blaster » (fausse station de base) utilisé pour envoyer des SMS frauduleux depuis une voiture à Bangkok. 🚔 Opération et arrestations. À la suite du signalement d’un SMS suspect par un particulier, l’équipement a été localisé le 8 août dans une Mazda circulant sur New Petchburi Road (Bangkok). Le véhicule a été suivi jusqu’à une station-service dans le district de Bang Phlat, où les deux occupants (début de vingtaine) ont été arrêtés. L’un d’eux a déclaré avoir été recruté via Telegram par un homme chinois, pour THB 2 500 (≈ USD 75) par jour. Ils reconnaissent trois sorties avec l’appareil, depuis le 2 août. ...

Source et contexte: Cisco Talos Blog publie une analyse d’« UAT-7237 », un groupe APT sinophone actif depuis au moins 2022 et présentant de fortes similitudes avec « UAT-5918 ». L’équipe décrit une intrusion récente contre un fournisseur d’hébergement web à Taïwan, avec un fort objectif de persistance à long terme et un outillage majoritairement open source, personnalisé pour l’évasion. Principales tactiques et objectifs 🎯: Le groupe obtient l’accès initial en exploitant des vulnérabilités connues sur des serveurs exposés, effectue une reconnaissance rapide (nslookup, systeminfo, ping, ipconfig) et s’appuie sur des LOLBins et des outils WMI (SharpWMI, WMICmd) pour l’exécution distante et la prolifération. La persistance et l’accès se font surtout via SoftEther VPN et RDP, avec un déploiement de web shells très sélectif. UAT-7237 privilégie Cobalt Strike comme implant, au contraire de UAT-5918 qui use surtout de Meterpreter et multiplie les web shells. L’acteur cible notamment les accès VPN et l’infrastructure cloud de la victime. ...

CERT-AGID (cert-agid.gov.it) signale une vente illégale de scans haute résolution de documents d’identité (passeports, cartes d’identité, etc.) volés à des hôtels en Italie 🏨🛂. Selon l’acteur malveillant “mydocs”, les premiers lots proviennent d’accès non autorisés à trois structures hôtelières, avec des vols survenus entre juin et juillet 2025. Le matériel est proposé sur un forum underground. Chronologie des ajouts annoncés: 08/08/2025: +17 000 documents issus d’une structure supplémentaire. 11/08/2025: publications de nouvelles collections totalisant plus de 70 000 documents exfiltrés à quatre hôtels italiens. 13/08/2025: environ 3 600 documents attribués à deux hôtels supplémentaires (portant le total d’hôtels concernés à dix au 13/08). 14/08/2025: environ 9 300 scans associés à deux nouvelles structures. Les documents volés constituent un actif de grande valeur pour des usages frauduleux, notamment: ...

Source: Knostic.ai — Des chercheurs en sécurité rapportent une vulnérabilité reproductible dans GPT-5 causant une contamination de contexte inter‑session lors de scénarios d’erreurs de longueur de message suivies d’un appui sur « Retry ». — Résumé factuel — Nature du problème: vulnérabilité de gestion d’erreurs et de session entraînant une contamination de contexte cross‑session. Conditions: prompts surdimensionnés provoquant des erreurs de type message_length_exceeds_limit, puis action Retry. Impact observé: génération de réponses issues de conversations non liées. Aucune exposition de données sensibles confirmée, mais risque de confiance et de confidentialité élevé, notamment pour des environnements entreprise et réglementés. — Détails techniques — ...