Posts

Selon TRM Labs, Embargo est un acteur ransomware sophistiqué apparu en avril 2024 qui aurait récolté environ 34,2 M$ en paiements. Le groupe cible principalement les organisations de santé aux États-Unis, ainsi que les services aux entreprises et la manufacture, et pratique la double extorsion. Sur le plan technique, Embargo opère en RaaS (ransomware-as-a-service) avec un malware en Rust doté de capacités avancées d’évasion. Les vecteurs d’accès initiaux incluent l’exploitation de vulnérabilités non corrigées et des attaques de social engineering. Le groupe utilise un outil en deux parties pour désactiver les solutions de sécurité avant l’encryption des fichiers. ...

Selon Darktrace (billet de blog), des vulnérabilités d’Ivanti Endpoint Manager Mobile — CVE-2025-4427 et CVE-2025-4428 — sont activement exploitées dans plusieurs environnements clients par l’acteur lié à la Chine UNC5221. L’enquête met en évidence une chaîne d’attaque structurée combinant validation d’exploit, livraison de charge utile et récupération de commandes. • Points clés: exploitation active de CVE-2025-4427/CVE-2025-4428 sur Ivanti EPMM, attribution à UNC5221 (China‑nexus), déploiement du malware KrustyLoader via AWS S3, et usage de pastebin/dpaste pour des charges dynamiques. Un chevauchement d’infrastructure avec l’exploitation de SAP NetWeaver CVE-2025-31324 suggère des activités coordonnées. ...

Selon The Register, dans le cadre de la conférence Black Hat, Microsoft pousse l’abandon des mots de passe au profit de la biométrie Windows Hello, mais des chercheurs sponsorisés par le gouvernement allemand ont découvert une faille critique dans son implémentation en entreprise. La vulnérabilité permettrait à un administrateur malveillant — ou à un compte admin compromis — d’injecter de nouveaux scans faciaux dans le système Windows Hello. 🔓 Les éléments concernés sont la biométrie Windows Hello et spécifiquement son implémentation pour les environnements d’entreprise. ...

Source : Talos Intelligence (blog de Cisco Talos). Des chercheurs présentent une chaîne d’attaque touchant Dell ControlVault3, une solution de sécurité matérielle largement déployée sur des laptops Dell, menant à l’exécution de code arbitraire, à l’altération de l’authentification biométrique et à une compromission jusqu’au niveau SYSTEM sur Windows. • Découvertes clés : le déchiffrement du firmware via des clés AES codées en dur, la possibilité d’implants persistants survivant aux réinstallations du système, et le contournement de l’authentification par empreinte Windows Hello. Les organisations utilisant des ordinateurs Dell avec ControlVault3 sont invitées à mettre en place des capacités de détection et une surveillance renforcée. 🔐⚠️ ...

Source: Embrace The Red (blog) — Des chercheurs en sécurité décrivent des vulnérabilités critiques de prompt injection dans l’agent OpenHands qui permettent une exfiltration de données zéro‑clic en abusant du rendu d’images pour extraire des tokens GitHub et d’autres secrets. 🚨 Points clés Type d’attaque: prompt injection avec la « Lethal Trifecta » (Markdown + rendu d’images + exfiltration). Impact: exfiltration de GITHUB_TOKEN et d’autres données sensibles depuis l’environnement conteneurisé d’OpenHands. État du correctif: vulnérabilité non corrigée malgré 148 jours de divulgation responsable. 🔧 Détails techniques ...

Selon Ars Technica, Google a divulgué que son instance Salesforce a été compromise en juin, deux mois après que Google lui‑même a alerté sur une campagne de masse visant les clients Salesforce par ingénierie sociale, menée par des acteurs financiers. Les attaquants ne passent pas par une faille logicielle mais par des appels téléphoniques 📞: ils se font passer pour l’IT du client et demandent de lier une application externe à l’instance Salesforce. Ils obtiennent de l’employé le code de sécurité à 8 chiffres requis par l’interface, qu’ils utilisent ensuite pour lier l’app et accéder à l’instance et aux données stockées. Cette méthode abuse d’une fonctionnalité de liaison d’apps tierces de Salesforce. ...

Selon BleepingComputer, la U.S. Federal Judiciary a confirmé avoir subi une cyberattaque ciblant ses systèmes de gestion électronique des dossiers qui hébergent des documents de cour confidentiels. L’incident touche des plateformes électroniques de gestion des affaires judiciaires, au cœur du traitement et de l’archivage des dossiers. Les autorités judiciaires soulignent la sensibilité des informations concernées, en raison de la présence de documents confidentiels. En réponse, l’institution indique renforcer ses mesures de cybersécurité 🔐. Aucune précision additionnelle n’est communiquée dans l’extrait sur la nature technique de l’attaque ou son ampleur. ...

Selon la référence fournie (Socket.dev, blog), npm lance « Trusted Publishing » basé sur OpenID Connect (OIDC) pour tous les utilisateurs, afin de sécuriser la publication de packages JavaScript dans un contexte de récentes attaques de supply chain ayant exploité des tokens de mainteneurs compromis. 🔐 Points clés: Passage à des identifiants éphémères et cryptographiquement sécurisés qui expirent après chaque publication, évitant les tokens longue durée en CI/CD. Génération automatique d’attestations de provenance (preuve cryptographique de l’identité du publieur et des métadonnées d’environnement de build) sans nécessiter l’option --provenance. Objectif: réduire les risques d’attaques de la chaîne d’approvisionnement liés au vol/abus de secrets dans les pipelines. 🧰 Intégration et prérequis: ...

Selon Embrace The Red, des chercheurs ont démontré une vulnérabilité critique dans l’agent IA OpenHands permettant, via prompt injection, une exécution de code à distance (RCE) et la prise de contrôle persistante de l’agent en un « ZombAI » 🚨. Sur le plan technique, l’attaque insère des instructions malveillantes dans des contenus web que l’agent traite. Lorsqu’OpenHands visite un site contrôlé par l’attaquant, il suit ces instructions pour télécharger un malware (payload similaire à ceux observés dans des exploits visant Anthropic Claude), l’exécuter localement, puis établir une connexion à un serveur de C2 🤖. ...

Selon DatabreachToday le Service du ministère public des Pays-Bas (Openbaar Ministerie) a entamé une remise en service progressive de ses réseaux, un mois après une cyberattaque l’ayant contraint à mettre ses services hors ligne. L’agence confirme que des pirates ont exploité une vulnérabilité dans un équipement Citrix et affirme qu’aucune donnée n’a été volée ni manipulée. Les systèmes ont été isolés le 17 juillet, à la suite de divulgations de failles touchant les Citrix NetScaler ADC et Gateway. La faille ciblée, Citrix Bleed 2 (CVE-2025-5777), permet de contourner la MFA, d’usurper des sessions et d’accéder sans autorisation. Un avertissement du NCSC-NL en juillet sur des attaques visant cette vulnérabilité a conduit à l’isolement du réseau interne. ...