Posts

Source : Silent Push — L’article présente des requêtes de détection prêtes à l’emploi pour traquer l’infrastructure associée à des familles de malware comme Lumma Stealer, StealC, Latrodectus, Clearfake et Kongtuke, en s’appuyant sur la plateforme Silent Push Community Edition. Silent Push présente des méthodes de détection proactive de l’infrastructure malveillante grâce à des requêtes avancées accessibles dans sa plateforme, dont une partie est disponible au sein de l’offre Community Edition. L’outil repose sur la signature de comportements précis lors de la création et l’utilisation de domaines, serveurs C2 et ressources web typiques de familles de malware, infostealers et campagnes de phishing en 2025. ...

Source: The Record — Dans un court article, le média rapporte que près de 200 000 tokens Solana ont été volés à la plateforme SwissBorg, soit environ 2% de ses actifs, selon le CEO de l’entreprise. La société a promis de rembourser les utilisateurs concernés. 🔓 Type d’événement: vol de cryptomonnaies 💥 Impact: ~200 000 tokens Solana, soit ~2% des actifs de la plateforme 🤝 Réponse: Engagement de remboursement des utilisateurs par SwissBorg Aucun détail supplémentaire n’est fourni sur le mode opératoire, l’origine de l’attaque ou d’éventuelles compromissions techniques. ...

The Record (Recorded Future News) rapporte que SwissBorg a subi un vol de cryptomonnaies d’environ 41 M$ en Solana, consécutif à une compromission chez son partenaire Kiln, sans intrusion directe sur la plateforme SwissBorg. • Impact: 192 600 SOL dérobés (plus de 41 M$), soit environ 2% des actifs de SwissBorg. Environ 1% des utilisateurs touchés. SwissBorg s’engage à rembourser intégralement les clients affectés. • Vecteur et cause: Selon SwissBorg et Kiln, l’incident a impliqué un accès non autorisé à un wallet utilisé pour les opérations de staking. Des experts cités indiquent que l’attaque remonte à l’API de Kiln, utilisée par SwissBorg pour communiquer avec Solana; les attaquants ont compromis l’API et ont siphonné des fonds via celle-ci. ...

Source: Trend Micro (analyse publiée le 9 septembre 2025). Le rapport couvre une campagne d’août 2025 menée par le groupe ransomware émergent The Gentlemen, caractérisée par des outils adaptatifs et des contournements ciblés des protections d’entreprise. Les secteurs les plus touchés sont la manufacture, la construction, la santé et l’assurance, avec un fort focus Asie‑Pacifique (notamment Thaïlande) et les États‑Unis (17 pays affectés). Chaîne d’attaque et mouvements: l’accès initial est attribué avec probabilité à l’exploitation de services exposés ou à des identifiants compromis. Des indices montrent la compromission d’un compte administrateur FortiGate et d’un serveur FortiGate accessible depuis Internet. La découverte réseau s’appuie sur Advanced IP Scanner et des scripts batch (ex. “1.bat”) pour l’énumération massive des comptes/groupes Active Directory. La latéralisation utilise PsExec, l’affaiblissement des paramètres d’authentification via modifications du Registre, et la persistance via AnyDesk. Des scans internes sont réalisés avec Nmap; un usage de PuTTY/SSH est également évoqué. ...

Source : Natto Thoughts (Substack) — Cette analyse s’appuie sur un avis de cybersécurité conjoint et identifie trois entreprises chinoises impliquées dans le soutien aux opérations de l’APT Salt Typhoon, ciblant l’infrastructure télécom et gouvernementale mondiale. L’étude met en avant trois entités : Sichuan Juxinhe (évaluée comme société écran), Beijing Huanyu Tianqiong (probablement société écran) et Sichuan Zhixin Ruijie (présentée comme contractant légitime). Elles auraient fourni des capacités cyber aux services de renseignement chinois, notamment le contrôle de routeurs réseau, l’analyse de trafic et des outils d’accès à distance. ...

Source: Huntress (billet de blog). Contexte: Huntress explique qu’un acteur de menace a lancé un essai et installé l’agent EDR sur sa propre machine, permettant à l’équipe SOC d’observer directement ses activités et d’alimenter des détections, tout en rappelant le cadre de transparence et de confidentialité associé à la télémétrie EDR. Huntress a identifié que l’hôte était malveillant en corrélant un nom de machine déjà vu sur plusieurs incidents et des signaux de comportement suspect. L’analyse a relié l’infrastructure primaire de l’adversaire (hébergée sur l’AS « 12651980 CANADA INC. », désormais VIRTUO) à un schéma d’accès touchant plus de 2 471 identités sur deux semaines, avec des activités incluant la création de règles mail malveillantes et le vol/rafraîchissement de tokens de session. Des chasses rétroactives ont aussi révélé 20 identités compromises supplémentaires, plusieurs déjà accédées avant le déploiement de Huntress. ...

Selon Trend Micro, des cybercriminels et acteurs étatiques détournent les fonctionnalités légitimes de Microsoft Power Automate pour mener des opérations discrètes, profitant de l’essor de l’automatisation et de lacunes de visibilité dans les environnements Microsoft 365. • Constat principal : des fonctionnalités natives et connecteurs de Power Automate sont utilisées pour des activités de Living off the Land, facilitant la fuite de données, la persistance, le contournement des contrôles, le Business Email Compromise (BEC), le soutien à des campagnes de ransomware et des opérations d’espionnage. ...

Source: Trend Micro (Trend Research), septembre 2025. Dans une analyse MDR, l’éditeur décrit une campagne diffusant Atomic macOS Stealer (AMOS) qui cible les utilisateurs macOS via des sites de « crack » et des pages d’installation trompeuses, avec rotation agressive de domaines et exfiltration HTTP(S). • Distribution et contournements. Les assaillants déguisent AMOS en faux installeurs (.dmg) de logiciels populaires « crackés » ou incitent les victimes à copier-coller des commandes dans le Terminal (curl vers un script install.sh). Les .dmg non notarés sont bloqués par Gatekeeper sur macOS Sequoia 15.5/15.6, mais la méthode Terminal obtient un taux de succès élevé. Le kit emploie une rotation de domaines/URLs (redirecteurs .cfd, pages d’atterrissage et hôtes de charge utile) pour éviter les détections statiques et retarder les takedowns. ...

Source: The DFIR Report (Threat Brief initial publié en mars 2025). Contexte: une intrusion démarrée en septembre 2024 par exécution d’un faux installeur EarthTime, conduisant au déploiement de SectopRAT, puis SystemBC pour le tunneling/proxy, et plus tard du backdoor Betruger. L’attaquant a réalisé reconnaissance, escalade, mouvements latéraux via RDP/Impacket, collecte et exfiltration de données, avant éjection, avec des indices reliant Play, RansomHub et DragonForce. • Point d’entrée et persistance: exécution d’un binaire EarthTime.exe signé avec un certificat révoqué, injectant SectopRAT via MSBuild.exe. Persistance par BITS (copie vers Roaming/QuickAgent2 en ChromeAlt_dbg.exe + lien Startup), création d’un compte local “Admon” (Qwerty12345!) avec privilèges admin. Déploiement de SystemBC (WakeWordEngine.dll/conhost.dll) depuis C:\Users\Public\Music\ via rundll32. ...

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd et enrichies avec les données CIRCL / Vulnerability-Lookup (EPSS, VLAI Severity). 📌 Légende : CVSS : Score de sévérité officielle. EPSS : Probabilité d’exploitation (Exploit Prediction Scoring System). VLAI : Score NLP open-source de sévérité estimée (IA). Poids social : Importance dans le Fediverse. CVE-2024-50264 [CVSS None ⚪] [VLAI High 🟧] Produit : Linux Linux Score CVSS : None ⚪ EPSS : 0.00048 🟩 VLAI : High 🟧 Poids social (Fediverse) : 1823.0 Description : Dans le noyau Linux, la vulnérabilité suivante a été corrigée : vsock/virtio : initialisation d’un pointeur pendu se produisant dans vsk->trans ...