Posts

Selon Trend Micro, des cybercriminels et acteurs étatiques détournent les fonctionnalités légitimes de Microsoft Power Automate pour mener des opérations discrètes, profitant de l’essor de l’automatisation et de lacunes de visibilité dans les environnements Microsoft 365. • Constat principal : des fonctionnalités natives et connecteurs de Power Automate sont utilisées pour des activités de Living off the Land, facilitant la fuite de données, la persistance, le contournement des contrôles, le Business Email Compromise (BEC), le soutien à des campagnes de ransomware et des opérations d’espionnage. ...

Source: Trend Micro (Trend Research), septembre 2025. Dans une analyse MDR, l’éditeur décrit une campagne diffusant Atomic macOS Stealer (AMOS) qui cible les utilisateurs macOS via des sites de « crack » et des pages d’installation trompeuses, avec rotation agressive de domaines et exfiltration HTTP(S). • Distribution et contournements. Les assaillants déguisent AMOS en faux installeurs (.dmg) de logiciels populaires « crackés » ou incitent les victimes à copier-coller des commandes dans le Terminal (curl vers un script install.sh). Les .dmg non notarés sont bloqués par Gatekeeper sur macOS Sequoia 15.5/15.6, mais la méthode Terminal obtient un taux de succès élevé. Le kit emploie une rotation de domaines/URLs (redirecteurs .cfd, pages d’atterrissage et hôtes de charge utile) pour éviter les détections statiques et retarder les takedowns. ...

Source: The DFIR Report (Threat Brief initial publié en mars 2025). Contexte: une intrusion démarrée en septembre 2024 par exécution d’un faux installeur EarthTime, conduisant au déploiement de SectopRAT, puis SystemBC pour le tunneling/proxy, et plus tard du backdoor Betruger. L’attaquant a réalisé reconnaissance, escalade, mouvements latéraux via RDP/Impacket, collecte et exfiltration de données, avant éjection, avec des indices reliant Play, RansomHub et DragonForce. • Point d’entrée et persistance: exécution d’un binaire EarthTime.exe signé avec un certificat révoqué, injectant SectopRAT via MSBuild.exe. Persistance par BITS (copie vers Roaming/QuickAgent2 en ChromeAlt_dbg.exe + lien Startup), création d’un compte local “Admon” (Qwerty12345!) avec privilèges admin. Déploiement de SystemBC (WakeWordEngine.dll/conhost.dll) depuis C:\Users\Public\Music\ via rundll32. ...

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd et enrichies avec les données CIRCL / Vulnerability-Lookup (EPSS, VLAI Severity). 📌 Légende : CVSS : Score de sévérité officielle. EPSS : Probabilité d’exploitation (Exploit Prediction Scoring System). VLAI : Score NLP open-source de sévérité estimée (IA). Poids social : Importance dans le Fediverse. CVE-2024-50264 [CVSS None ⚪] [VLAI High 🟧] Produit : Linux Linux Score CVSS : None ⚪ EPSS : 0.00048 🟩 VLAI : High 🟧 Poids social (Fediverse) : 1823.0 Description : Dans le noyau Linux, la vulnérabilité suivante a été corrigée : vsock/virtio : initialisation d’un pointeur pendu se produisant dans vsk->trans ...

Selon l’APA (Agence de presse autrichienne), le ministère autrichien de l’Intérieur (BMI) a révélé un piratage de son infrastructure IT survenu il y a plusieurs semaines, avec des accès non autorisés à ses serveurs de messagerie. L’annonce a été faite lors d’un point presse samedi. Nature de l’attaque: attaque ciblée et professionnelle avec accès non autorisé aux serveurs e‑mail du BMI. Environ 100 comptes sur 60 000 ont été touchés « en partie ». Le ministère souligne que les contenus sensibles ne sont en principe pas échangés par e‑mail. ...

Selon VirusTotal cité par BleepingComputer, une campagne de phishing exploite des fichiers SVG pour générer de faux portails imitant le système judiciaire colombien, dans le but de distribuer des logiciels malveillants. Le cœur de la menace repose sur des fichiers SVG contenant du contenu malveillant qui, une fois rendus, génèrent des portails factices très convaincants 🎣. Ces pages usurpent l’identité du système judiciaire de Colombie (🇨🇴) afin d’induire les victimes en erreur et de livrer des malwares. TTPs observés: ...

SecurityWeek rapporte que Cloudflare a annoncé avoir bloqué la plus grande attaque DDoS jamais enregistrée, culminant à 11,5 Tbps, principalement un UDP flood, avec un débit de 5,1 milliards de paquets par seconde (Bpps) et d’une durée d’environ 35 secondes. Un premier message indiquait une origine majoritairement liée à Google Cloud, avant une mise à jour précisant que Google Cloud n’était qu’une source parmi d’autres, aux côtés de plusieurs fournisseurs IoT et cloud. 🛡️ ...

Selon un communiqué de presse de la CGN, une activité suspecte a été détectée sur son site web le mardi 2 septembre 2025 en milieu d’après-midi, menant à une mise hors service immédiate du site puis à sa réactivation après mesures correctives. Les analyses ont confirmé la présence d’un script malveillant actif pendant cinq jours avant sa détection. L’attaque a été immédiatement stoppée et des mesures de sécurité renforcées ont été déployées. Le site a été réactivé jeudi après corrections. ...

Selon CYFIRMA (publication de recherche), Salat Stealer, aussi nommé WEB_RAT, est un infostealer sophistiqué écrit en Go ciblant Windows, opéré sous un modèle Malware-as-a-Service par des acteurs russophones. • Capacités et cibles: Le malware vole des identifiants de navigateurs (Chrome, Edge, Firefox, Opera), des données de portefeuilles crypto (Coinomi, Exodus, Electrum) et des sessions utilisateur, avec exfiltration vers ses serveurs C2 via UDP et HTTPS. • Persistance et évasion: Binaire UPX-packé, persistance par clés Run du registre et tâches planifiées, mascarade de processus (ex. Lightshot.exe). Il intègre des fonctions anti‑analyse incluant exclusions Windows Defender, bypass UAC et désactivation de WinRE. ...

Selon Trustwave SpiderLabs (SpiderLabs Blog), des chercheurs détaillent comment des IA intégrées aux SOC et SIEM peuvent être détournées par injection de prompt indirecte à travers des journaux influencés par l’utilisateur. Les auteurs expliquent que des instructions malveillantes insérées dans des logs (ex. en-têtes HTTP, requêtes GET, tentatives d’authentification SSH) sont traitées comme des commandes légitimes par des LLM utilisés dans des chatbots et systèmes RAG pour l’analyse sécurité. Résultat: l’IA peut cacher des attaques, modifier des détails d’événements ou créer de faux incidents 🛑. ...