Posts

🔍 Contexte Source : BleepingComputer, publié le 30 mai 2026 par Lawrence Abrams. Palo Alto Networks a mis à jour son advisory pour confirmer l’exploitation active de CVE-2026-0257, une vulnérabilité de contournement d’authentification affectant le composant GlobalProtect (portal et gateway) de PAN-OS. 🛡️ Description de la vulnérabilité La faille réside dans la validation des cookies d’authentification override par PAN-OS. Le mécanisme défaillant est le suivant : Le dispositif déchiffre les cookies d’override avec une clé privée configurée Il fait confiance au contenu déchiffré sans vérification de signature Si le même certificat est réutilisé pour les services HTTPS et les cookies d’override, un attaquant peut récupérer la clé publique via la session HTTPS Il peut alors forger des cookies d’authentification valides pour n’importe quel utilisateur, sans connaître les identifiants Conditions requises : authentication override cookies activés + configuration de certificat spécifique. ...

🔍 Contexte En mai 2026, Arctic Wolf Labs a publié un rapport d’analyse technique documentant une campagne malveillante exploitant CVE-2026-35616, une vulnérabilité de contrôle d’accès inapproprié dans FortiClient EMS (Endpoint Management Server). La vulnérabilité avait été signalée à Fortinet le 31 mars 2026, après observation d’une exploitation active dans la nature. 🎯 Vecteur d’accès initial CVE-2026-35616 permet à des acteurs non authentifiés de contourner l’authentification API de FortiClient EMS en envoyant des requêtes HTTP spécialement forgées, traitées comme des actions administratives légitimes. Les attaquants ont ensuite effectué des connexions malveillantes depuis plusieurs adresses IP de nœuds de sortie Tor : ...

🔍 Contexte Publié le 20 mai 2026 par Nicola Suter sur son blog technique, cet article documente une réponse de Microsoft à la vulnérabilité CVE-2026-41615 (Microsoft Authenticator Information Disclosure Vulnerability), en exposant de nouveaux champs dans les journaux de connexion Entra ID. 🛡️ Vulnérabilité concernée CVE-2026-41615 : Vulnérabilité de divulgation d’informations affectant l’application Microsoft Authenticator Versions vulnérables : Android : versions antérieures à 6.2605.2973 iOS : versions antérieures à 6.8.47 Les versions mentionnées ci-dessus constituent les builds corrigés. 📊 Nouveau champ dans les SignInLogs En réponse à cette CVE, Microsoft a ajouté la colonne AuthenticationAppDeviceDetails dans les Entra ID Sign-In Logs, contenant les propriétés JSON suivantes : ...

🔍 Contexte Source : Profero Threat Intelligence, publiée le 24 mai 2026. L’article documente une opération de sabotage combinée IT/OT menée contre une usine de production alimentaire israélienne, attribuée avec haute confiance à Cyber Isnaad Front, persona opérée par ou aux côtés d’Aria Sepehr Ayandehsazan (ASA), successeur de l’entité sanctionnée Emennet Pasargad, affiliée à l’IRGC. 🎭 Acteur de la menace Cyber Isnaad Front : persona arabophone présentée comme un collectif hacktiviste pro-palestinien, active depuis juin 2025 Opérée par/avec ASA (Aria Sepehr Ayandehsazan), successeur d’Emennet Pasargad (sanctionné par l’OFAC pour ingérence électorale US 2020) Modèle opératoire : hack-and-leak public + destruction silencieuse en arrière-plan Cibles déclarées : sous-traitants défense israéliens, logistique carburant (~5 To), opérateurs télécom (>160 clients data center) 💻 Volet IT : malware GRAT (Go Remote Access Toolkit) GRAT est un binaire Go unique (~10,4 Mo) intégrant 11 sous-systèmes : ...

🗓️ Contexte Source : Ars Technica (Dan Goodin), publié le 29 mai 2026. L’opération a été annoncée par la police néerlandaise et le National Cyber Security Center (NCSC) des Pays-Bas à la suite du signalement d’un chercheur en sécurité. 🎯 Opération de démantèlement Les autorités néerlandaises ont saisi plusieurs serveurs de botnet hébergés aux Pays-Bas auprès d’un fournisseur d’hébergement. Le botnet était composé de : Plus de 17 millions d’appareils compromis 200 serveurs de gestion L’hébergeur a mis le botnet hors ligne en raison de son utilisation à des fins criminelles. ...

🗞️ Contexte Publié le 26 mai 2026 par TechCrunch (Lorenzo Franceschi-Bicchierai), cet article rapporte les conclusions d’un rapport de la startup israélienne Gambit Security attribuant une cyberattaque survenue en mars 2026 contre la Los Angeles County Metropolitan Transportation Authority (LACMTA) à des hackers liés à l’Iran. 🎯 Attaque et attribution Un groupe se présentant comme hacktiviste sous le nom Ababil of Minab avait revendiqué l’attaque, affirmant avoir volé puis supprimé des données des systèmes de la LACMTA. La récupération de l’incident a pris plusieurs semaines. ...

🗓️ Contexte Article publié le 25 mai 2026 sur Commsrisk par Eric Priezkalns. Il documente la présence persistante de publicités pour des SMS blasters (fausses stations de base) sur YouTube, avec un cas particulièrement flagrant ciblant les Philippines. 📡 Équipement et canal de distribution Une vidéo intitulée “SMS Auto Blaster”, publiée le 30 octobre 2025 sur la chaîne YouTube “SMS Broadcast Software Free”, fait la promotion de fausses stations de base de fabrication chinoise. La description de la chaîne mentionne explicitement les termes “Pseudo base station” et “sms broadcasting system”. Les liens du profil renvoient vers deux sites en chinois proposant des “Carrier-grade fake base stations”, des “5G fake base station” et des “4G fake base station”. Le profil affiche également un canal Telegram du vendeur. ...

🔍 Contexte Publié le 28 mai 2026 par le chercheur Paul Newton sur son blog de cybersécurité, cet article constitue une analyse technique approfondie de Device Code Lab (DCL), également connu sous le nom AUTHOV, une plateforme de phishing-as-a-service (PhaaS) professionnelle découverte lors d’activités de threat hunting. L’infrastructure initiale a été identifiée sur l’IP 192.3.225.100 avec le titre de panneau « Device Code Lab ». 🎯 Fonctionnement général DCL est une plateforme centralisée de vol de tokens OAuth exploitant le flux d’authentification Device Code Flow de Microsoft. Elle génère des codes de périphérique via l’endpoint /oauth2/v2.0/devicecode, affiche le user_code à la victime via une landing page Cloudflare Workers, puis capture le jeu complet de tokens OAuth (access token ~1h, refresh token ~90 jours) dès que la victime s’authentifie. ...

🔍 Contexte Publié le 24 mai 2026 par OCCRP et ses partenaires médias (Delfi Estonia, Le Monde, Profil, Radio Svoboda, etc.), cet article s’appuie sur une cache de documents internes fuités obtenus par Delfi Estonia. Les fichiers couvrent les opérations de la Social Design Agency (SDA) tout au long de 2025 et incluent des plans pour 2026. 🎯 Acteurs et structure La Social Design Agency (SDA), firme de relations publiques russe, déjà sanctionnée par les États-Unis, le Royaume-Uni et l’UE, est identifiée comme l’opérateur principal. L’administration présidentielle russe supervise et finance les opérations, avec Sofia Zakharova (alias « Kristin Kiler »), cheffe de département communications, comme figure centrale. Sergei Kiriyenko, premier chef de cabinet adjoint de l’administration présidentielle, est référencé comme autorité supérieure (alias « SVK »). Ilya Gambashidze, directeur de la SDA, est mentionné comme opérationnel sous surveillance interne. 🕵️ Opérations documentées Faux drapeaux physiques : ...

🌐 Contexte Publié le 25 mai 2026 par le Google Threat Intelligence Group (GTIG), cet article présente une analyse approfondie de l’écosystème Phishing-as-a-Service (PhaaS) en langue chinoise, en pleine expansion face à l’écosystème russophone historiquement dominant. GTIG a analysé une douzaine de plateformes actives, toutes considérées comme matures. 🎯 Caractéristiques distinctives de l’écosystème PhaaS chinois Cibles quasi exclusivement non-chinoises : les organisations imitées sont étrangères, suggérant que la Chine elle-même est rarement visée Ciblage opportuniste du grand public, contrairement aux PhaaS russophones qui visent les clients de grandes organisations Opérations ouvertes : faible souci de l’OPSEC, publications de photos de style de vie luxueux sur Telegram Publicité via Telegram plutôt que WeChat ou QQ Offre étendue : PII, enregistrement de domaines, hébergement VPS, location de serveurs, blanchiment d’argent, IMSI catchers, services de spam, données de cartes bancaires volées ⚙️ TTPs notables Livraison via RCS et iMessage : exploitation du chiffrement de bout en bout pour contourner les filtres de sécurité des opérateurs SMS ; messages enrichis (accusés de lecture, indicateurs de frappe, images HD) pour maximiser la crédibilité des leurres Interception en temps réel : panneau d’administration live permettant à l’attaquant de capturer les OTP en quelques secondes, contournant ainsi le MFA Exploitation des wallets numériques : provisionnement de la carte de la victime dans un wallet numérique sur un appareil contrôlé par l’attaquant via les credentials et OTP volés, permettant paiements sans contact, transactions de haute valeur et retraits ATM Automatisation par IA : génération de pages de phishing uniques par clonage de sites légitimes (HTML, CSS, JavaScript) via des outils comme Puppeteer, rendant la détection par signature inefficace 🔍 Cas d’étude : YY Lai Yu (YY来鱼) Première publicité en août 2024, géré par « YY Lai Yu », « Jeffrey Carrie » et « Very casual » Supporte le phishing dans 119 pays, avec focus principal sur le Japon Depuis novembre 2025 : plus de 400 templates de phishing ciblant des marques japonaises (Amazon, Apple, DMM, Epos Card, JA Bank, JCB Card, JR, Matsui Securities, Mercari, Monex, Nintendo, Nomura Securities, Orico Card, PayPay, Rakuten Securities, Sagawa Express) Leurres culturellement adaptés : expiration de points de fidélité, subvention hivernale d’électricité au Japon Anti-bot via vérification humaine (clic manuel requis avant la page de phishing) pour contrer l’analyse automatisée Utilisation du service d’enregistrement de domaines Alibaba Panel permettant : requête des données phishées, blocklist par numéro BIN, blocklist par pays/territoire, gestion de domaines et d’utilisateurs opérateurs 📊 Type d’article Il s’agit d’une publication de recherche produite par GTIG, visant à documenter l’évolution structurelle et technique de l’écosystème PhaaS sinophone, ses TTPs émergents et ses capacités de localisation à l’échelle mondiale. ...