Posts

Selon StrikeReady (blog), une campagne de spearphishing a exploité un 0‑day dans Zimbra Collaboration Suite, CVE-2025-27915, via un fichier calendrier .ICS contenant du JavaScript, envoyé depuis une adresse usurpant le Bureau du Protocole de la Marine libyenne et visant l’armée brésilienne. Les auteurs soulignent que l’exploitation directe, par email, de suites collaboratives open source (Zimbra, Roundcube) demeure rare. 🗓️ Point d’entrée et détection: l’équipe a repéré l’attaque en surveillant les fichiers ICS de plus de 10 Ko contenant du JavaScript, un signal suffisamment rare pour permettre une revue manuelle. Le message provenait de l’IP 193.29.58.37 et contenait une pièce jointe .ICS malveillante déclenchant du JS côté webmail Zimbra. ...

Selon blick.ch, la Suisse prépare un exercice national, EI 25, prévu les 6 et 7 novembre, pour éprouver sa gestion de crise face à des menaces hybrides. Le dispositif mobilisera la Confédération, les cantons et des acteurs d’infrastructures critiques, dans un contexte de tensions géopolitiques et de risques de cybersécurité. Le scénario exact reste secret, mais il portera sur une «menace hybride contre la Suisse» sans référence explicite à un pays ou à des événements réels. Des initiés estiment qu’il pourrait ressembler à une escalade du conflit entre la Russie et l’Europe, avec des conséquences notables. Les vecteurs envisagés incluent notamment des cyberattaques, des survols de drones, des campagnes de désinformation, ainsi que des attaques terroristes et des épidémies. ...

Source: Rapid7 (blog) — Rapid7 signale une augmentation marquée d’abus de la fonctionnalité Direct Send de Microsoft 365 par des acteurs malveillants, afin d’envoyer des emails usurpant l’interne et contournant les contrôles de sécurité classiques. Résumé de la menace: Des campagnes de phishing utilisent la fonctionnalité légitime Direct Send pour envoyer des emails non authentifiés qui semblent provenir de l’organisation elle-même. Cette technique permet de contourner des contrôles de messagerie standards et de passer sous les radars de certaines protections. Détails techniques et détection: ...

Selon BleepingComputer, le brasseur japonais Asahi a indiqué avoir subi une attaque par ransomware, à l’origine de perturbations informatiques qui ont conduit à l’arrêt de plusieurs usines cette semaine. Type d’incident: attaque par ransomware 🔒 Impact: perturbations IT et arrêt temporaire de sites de production 🏭 Période: cette semaine (date non précisée) Le groupe Asahi, la plus grande brasserie du Japon, a confirmé qu’une attaque par ransomware a touché ses serveurs, causant des perturbations majeures dans ses usines et forçant la suspension des commandes et des expéditions au Japon. L’attaque a été détectée lundi 30 septembre 2025, entraînant l’arrêt des systèmes informatiques liés aux processus de commande et de livraison. ...

Source: message officiel de Bugnard SA (bugnard.ch). Communiqué adressé aux clients et partenaires suite à un incident de sécurité. 🚨 Le 24 septembre 2025 en fin de journée, Bugnard SA a détecté une intrusion par le ransomware Akira. L’attaque a affecté les serveurs de l’entreprise ainsi que son site internet, conduisant à l’interruption immédiate de l’accès à la plateforme pour protéger l’intégrité des données et des systèmes. 🔧 L’équipe informatique est mobilisée sur place avec la plus haute priorité pour rétablir la situation. Si nécessaire, l’entreprise restaurera le dernier backup afin de remettre le site en service dans les meilleurs délais. La remise en ligne est estimée entre mercredi et vendredi de la semaine en cours. ...

Source et contexte: Arctic Wolf Labs publie une analyse approfondie d’une campagne toujours active (débutée fin juillet 2025) où le ransomware Akira cible des environnements équipés de pare-feux SonicWall via des connexions SSL VPN malveillantes, avec des temps de compromission et de chiffrement mesurés en heures. • Vecteur initial et vulnérabilités: Les intrusions débutent par des connexions SSL VPN provenant de VPS/ASNs d’hébergement, souvent suivies en minutes par du scan réseau et l’usage d’Impacket. Des comptes locaux et LDAP-synchronisés (y compris des comptes AD de synchro non censés se connecter en VPN) sont utilisés. Les acteurs valident des défis OTP/MFA sur SonicOS, bien que la méthode exacte de contournement reste non élucidée. SonicWall lie la campagne à CVE‑2024‑40766 (improper access control) et évoque la possibilité d’identifiants dérobés sur des versions vulnérables puis réutilisés après mise à jour. Arctic Wolf mentionne aussi l’incident MySonicWall cloud backup sans lien établi avec cette campagne. ...

GreyNoise, via son blog, rapporte une résurgence d’exploitation de CVE-2021-43798 (Grafana) observée le 28 septembre 2025, avec 110 IP malveillantes menant des tentatives d’exploitation dans un schéma coordonné. L’activité, auparavant calme, a repris de manière nette et synchronisée. Sur le plan technique, la vulnérabilité ciblée permet des lectures arbitraires de fichiers via traversée de répertoires. Les observations montrent une convergence d’outils (empreintes TCP distinctes et au moins deux empreintes HTTP) pointant vers les mêmes trois destinations, ainsi que des indices d’intégration de chaîne d’exploitation et d’activités de reconnaissance. ...

Source: DomainTools (DTI) — Dans une analyse récente, DTI détaille une opération cybercriminelle à grande échelle ayant mis en ligne plus de 80 domaines usurpés depuis septembre 2024 pour distribuer des malwares Android et Windows orientés vers le vol d’identifiants. La campagne se distingue par une approche marketing (pixels Facebook et tracker Yandex) pour mesurer l’efficacité et les conversions, une sophistication technique modeste mais une échelle opérationnelle élevée grâce à des sites modèles et une rotation d’infrastructures. ...

Selon BleepingComputer, une nouvelle attaque baptisée « CometJacking » abuse des paramètres d’URL pour injecter des instructions cachées dans le navigateur Comet de Perplexity. L’attaque consiste à utiliser des paramètres d’URL afin de transmettre au navigateur Comet de Perplexity des instructions cachées qui ne sont pas visibles pour l’utilisateur. Ces instructions permettraient d’atteindre des données sensibles provenant de services connectés, notamment des boîtes e‑mail et des calendriers. TTPs observés: Exploitation de paramètres d’URL pour insérer des instructions cachées. Accès à des données de services connectés (e-mail, calendrier) via le navigateur Comet. Type d’article et objectif: article de presse spécialisé visant à informer sur une nouvelle technique d’attaque ciblant les intégrations du navigateur Comet. ...

Selon watchTowr Labs, une vulnérabilité critique CVE-2025-36604 affecte Dell UnityVSA jusqu’à la version 5.5.0.0.5.259, permettant une injection de commandes avant authentification; Dell a publié un correctif en 5.5.1. ⚠️ Impact et portée: Des attaquants non authentifiés peuvent exécuter des commandes arbitraires sur des appliances de stockage vulnérables, avec un risque d’accès à des données sensibles. Détails techniques: La faille réside dans la fonction getCASURL du module Perl AccessTool.pm lorsque le paramètre $type=‘login’. La variable $uri, issue directement de $r->uri() (requête HTTP), est concaténée sans sanitisation dans une chaîne ($exec_cmd) puis exécutée via des backticks Perl. Le chemin vulnérable est déclenché par la configuration Apache (PerlModule) qui enregistre AccessHandler::handler pour chaque requête. Une requête non authentifiée vers une ressource valide (sans les cookies attendus) appelle successivement make_return_address(), getCASLoginURL(), puis getCASURL(type=‘login’), menant à l’exécution de la commande injectée. La vulnérabilité a échappé à la détection car elle ne se manifeste que lorsque l’URI pointe vers une ressource nécessitant la résolution du handler. Alors que d’autres entrées étaient correctement échappées (quotes simples), $uri dans le flux « login » ne l’était pas. ...