Posts

Source: Rapid7 (blog) — Rapid7 signale une augmentation marquée d’abus de la fonctionnalité Direct Send de Microsoft 365 par des acteurs malveillants, afin d’envoyer des emails usurpant l’interne et contournant les contrôles de sécurité classiques. Résumé de la menace: Des campagnes de phishing utilisent la fonctionnalité légitime Direct Send pour envoyer des emails non authentifiés qui semblent provenir de l’organisation elle-même. Cette technique permet de contourner des contrôles de messagerie standards et de passer sous les radars de certaines protections. Détails techniques et détection: ...

Selon BleepingComputer, le brasseur japonais Asahi a indiqué avoir subi une attaque par ransomware, à l’origine de perturbations informatiques qui ont conduit à l’arrêt de plusieurs usines cette semaine. Type d’incident: attaque par ransomware 🔒 Impact: perturbations IT et arrêt temporaire de sites de production 🏭 Période: cette semaine (date non précisée) Le groupe Asahi, la plus grande brasserie du Japon, a confirmé qu’une attaque par ransomware a touché ses serveurs, causant des perturbations majeures dans ses usines et forçant la suspension des commandes et des expéditions au Japon. L’attaque a été détectée lundi 30 septembre 2025, entraînant l’arrêt des systèmes informatiques liés aux processus de commande et de livraison. ...

Source: message officiel de Bugnard SA (bugnard.ch). Communiqué adressé aux clients et partenaires suite à un incident de sécurité. 🚨 Le 24 septembre 2025 en fin de journée, Bugnard SA a détecté une intrusion par le ransomware Akira. L’attaque a affecté les serveurs de l’entreprise ainsi que son site internet, conduisant à l’interruption immédiate de l’accès à la plateforme pour protéger l’intégrité des données et des systèmes. 🔧 L’équipe informatique est mobilisée sur place avec la plus haute priorité pour rétablir la situation. Si nécessaire, l’entreprise restaurera le dernier backup afin de remettre le site en service dans les meilleurs délais. La remise en ligne est estimée entre mercredi et vendredi de la semaine en cours. ...

Source et contexte: Arctic Wolf Labs publie une analyse approfondie d’une campagne toujours active (débutée fin juillet 2025) où le ransomware Akira cible des environnements équipés de pare-feux SonicWall via des connexions SSL VPN malveillantes, avec des temps de compromission et de chiffrement mesurés en heures. • Vecteur initial et vulnérabilités: Les intrusions débutent par des connexions SSL VPN provenant de VPS/ASNs d’hébergement, souvent suivies en minutes par du scan réseau et l’usage d’Impacket. Des comptes locaux et LDAP-synchronisés (y compris des comptes AD de synchro non censés se connecter en VPN) sont utilisés. Les acteurs valident des défis OTP/MFA sur SonicOS, bien que la méthode exacte de contournement reste non élucidée. SonicWall lie la campagne à CVE‑2024‑40766 (improper access control) et évoque la possibilité d’identifiants dérobés sur des versions vulnérables puis réutilisés après mise à jour. Arctic Wolf mentionne aussi l’incident MySonicWall cloud backup sans lien établi avec cette campagne. ...

GreyNoise, via son blog, rapporte une résurgence d’exploitation de CVE-2021-43798 (Grafana) observée le 28 septembre 2025, avec 110 IP malveillantes menant des tentatives d’exploitation dans un schéma coordonné. L’activité, auparavant calme, a repris de manière nette et synchronisée. Sur le plan technique, la vulnérabilité ciblée permet des lectures arbitraires de fichiers via traversée de répertoires. Les observations montrent une convergence d’outils (empreintes TCP distinctes et au moins deux empreintes HTTP) pointant vers les mêmes trois destinations, ainsi que des indices d’intégration de chaîne d’exploitation et d’activités de reconnaissance. ...

Source: DomainTools (DTI) — Dans une analyse récente, DTI détaille une opération cybercriminelle à grande échelle ayant mis en ligne plus de 80 domaines usurpés depuis septembre 2024 pour distribuer des malwares Android et Windows orientés vers le vol d’identifiants. La campagne se distingue par une approche marketing (pixels Facebook et tracker Yandex) pour mesurer l’efficacité et les conversions, une sophistication technique modeste mais une échelle opérationnelle élevée grâce à des sites modèles et une rotation d’infrastructures. ...

Selon BleepingComputer, une nouvelle attaque baptisée « CometJacking » abuse des paramètres d’URL pour injecter des instructions cachées dans le navigateur Comet de Perplexity. L’attaque consiste à utiliser des paramètres d’URL afin de transmettre au navigateur Comet de Perplexity des instructions cachées qui ne sont pas visibles pour l’utilisateur. Ces instructions permettraient d’atteindre des données sensibles provenant de services connectés, notamment des boîtes e‑mail et des calendriers. TTPs observés: Exploitation de paramètres d’URL pour insérer des instructions cachées. Accès à des données de services connectés (e-mail, calendrier) via le navigateur Comet. Type d’article et objectif: article de presse spécialisé visant à informer sur une nouvelle technique d’attaque ciblant les intégrations du navigateur Comet. ...

Selon watchTowr Labs, une vulnérabilité critique CVE-2025-36604 affecte Dell UnityVSA jusqu’à la version 5.5.0.0.5.259, permettant une injection de commandes avant authentification; Dell a publié un correctif en 5.5.1. ⚠️ Impact et portée: Des attaquants non authentifiés peuvent exécuter des commandes arbitraires sur des appliances de stockage vulnérables, avec un risque d’accès à des données sensibles. Détails techniques: La faille réside dans la fonction getCASURL du module Perl AccessTool.pm lorsque le paramètre $type=‘login’. La variable $uri, issue directement de $r->uri() (requête HTTP), est concaténée sans sanitisation dans une chaîne ($exec_cmd) puis exécutée via des backticks Perl. Le chemin vulnérable est déclenché par la configuration Apache (PerlModule) qui enregistre AccessHandler::handler pour chaque requête. Une requête non authentifiée vers une ressource valide (sans les cookies attendus) appelle successivement make_return_address(), getCASLoginURL(), puis getCASURL(type=‘login’), menant à l’exécution de la commande injectée. La vulnérabilité a échappé à la détection car elle ne se manifeste que lorsque l’URI pointe vers une ressource nécessitant la résolution du handler. Alors que d’autres entrées étaient correctement échappées (quotes simples), $uri dans le flux « login » ne l’était pas. ...

Selon Rapid7, un rapport de menace détaille l’exploitation active de la vulnérabilité critique CVE‑2025‑53770 affectant Microsoft SharePoint, utilisée comme vecteur d’accès initial par des acteurs malveillants. Le risque est jugé élevé pour le secteur public, où SharePoint est largement déployé et manipule des données sensibles, dans un contexte de délais de remédiation serrés imposés par la CISA. 🚨 Impact et portée: des campagnes automatisées ciblent des serveurs SharePoint exposés sur Internet, suivies d’une exploitation « hands‑on‑keyboard ». Après compromission, les attaquants déploient des web shells, se déplacent latéralement et collectent des identifiants afin d’établir une persistance, ouvrant la voie à d’éventuels rançongiciels ou à l’exfiltration de données. De nombreuses organisations publiques locales et étatiques demeurent exposées. ...

Selon Cyble, une poussée de preuves de concept (PoC) et de failles zero-day — dont CVE-2025-9642 et CVE-2025-20363 — accroît l’urgence d’appliquer des correctifs de sécurité. 🚨 Les chercheurs en vulnérabilités de Cyble ont recensé 648 failles la semaine dernière, dont près de 26 % disposent déjà de preuves de concept (Proof-of-Concept, PoC) publiques, augmentant ainsi le risque d’attaques concrètes. Parmi elles, 27 sont qualifiées de critiques selon la norme CVSS v3.1, tandis que cinq le sont selon la plus récente CVSS v4.0. ...