Posts

Selon PolySwarm, cette analyse détaille l’évolution de LockBit 5.0, un rançongiciel plus sophistiqué et multi‑plateforme qui vise des environnements Windows, Linux et VMware ESXi avec des techniques avancées d’obfuscation et d’anti‑analyse. LockBit 5.0 présente une architecture cross‑plateforme permettant des attaques unifiées à l’échelle de l’entreprise. La variante ESXi est jugée particulièrement préoccupante car elle peut compromettre des infrastructures de virtualisation entières. Le code partage des similarités avec LockBit 4.0, confirmant une évolution itérative, et le malware intègre des « garde‑fous géopolitiques ». 🧬 ...

Selon une communication officielle de la ville de Michigan City, la perturbation du réseau constatée le 23 septembre a été confirmée comme un incident de ransomware. La ville indique que une partie des données municipales a été affectée. L’incident a également perturbé l’accès en ligne et téléphonique des employés municipaux. 🚨 Une enquête médico-légale est en cours. Une External Incident Response Team — composée de professionnels IT de Michigan City et d’agences externes — travaille à déterminer l’étendue et l’impact de l’événement. ...

Selon BleepingComputer Source : BleepingComputer (Sergiu Gatlan), Oracle a publié ce week-end une mise à jour de sécurité d’urgence pour corriger une vulnérabilité affectant Oracle E‑Business Suite (EBS). Oracle a diffusé ce week-end un correctif de sécurité d’urgence pour une nouvelle vulnérabilité critique affectant sa suite E-Business Suite (EBS), pouvant être exploitée à distance sans authentification. La faille, identifiée sous le code CVE-2025-61884, touche les versions 12.2.3 à 12.2.14 du composant Runtime UI et permettrait à des attaquants non authentifiés de voler des données sensibles via Internet. ...

Selon Seqrite, une campagne de phishing ciblant des utilisateurs en Colombie abuse de faux avis judiciaires en espagnol pour délivrer AsyncRAT via une chaîne d’infection multi‑étapes et des techniques d’évasion avancées. 🎣 Vecteur initial: e-mails usurpant le Bureau du Procureur général avec pièce jointe SVG contenant du JavaScript, enrichis de détails géographiques et institutionnels pour crédibiliser l’arnaque. 🔗 Chaîne d’infection: le SVG décode et dépose un HTA qui exécute un dropper VBS (actualiza.vbs) lançant un PowerShell (veooZ.ps1). Celui‑ci télécharge des charges encodées depuis des URLs dpaste, décode un loader .NET (classlibrary3.dll), puis récupère un injecteur et la charge AsyncRAT. ...

Selon Unit 42 (Palo Alto Networks), le conglomérat « Scattered Lapsus$ Hunters » — incluant Muddled Libra, Bling Libra et des acteurs LAPSUS$ — mène des campagnes coordonnées d’extorsion basées sur le vol de données contre des clients Salesforce, tout en poursuivant ses activités malgré la saisie par le FBI de domaines liés à BreachForums. • Menaces et opérations: Les acteurs ciblent des plateformes cloud, notamment des locataires Salesforce et des environnements AWS, pour exfiltrer des données clients sans déployer de chiffrement ni de ransomware, privilégiant une extorsion par vol de données. Bling Libra a lancé un modèle Extortion-as-a-Service (EaaS) avec une commission de 25–30% sur les paiements, et opère un DLS (data leak site) listant 39 organisations. Le groupe collabore avec de nouveaux collectifs, dont Crimson Collective. ...

Selon l’article, les procureurs demandent une peine de sept ans de prison contre Matthew Lane (19 ans, Massachusetts), après son plaidoyer de culpabilité pour le piratage des bases de données de l’entreprise d’edtech PowerSchool et le vol de données à grande échelle. 🎯 Cible: PowerSchool (edtech) 📦 Données compromises: >60 millions d’élèves et 9 millions d’enseignants 👤 Auteur: Matthew Lane, 19 ans ⚖️ Procédure: Plaidoyer de culpabilité; requête des procureurs: 7 ans de prison Un mémo de condamnation déposé mardi indique que Lane aurait également piraté au moins sept autres victimes depuis 2021, dont des entités gouvernementales étrangères. ...

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd et enrichies avec les données CIRCL / Vulnerability-Lookup (EPSS, VLAI Severity). 📌 Légende : CVSS : Score de sévérité officielle. EPSS : Probabilité d’exploitation (Exploit Prediction Scoring System). VLAI : Score NLP open-source de sévérité estimée (IA). Poids social : Importance dans le Fediverse. CVE-2021-43798 [CVSS 7.5 🟧] [VLAI High 🟧] Produit : grafana grafana Score CVSS : 7.5 🟧 EPSS : 0.94438 🟥 VLAI : High 🟧 Poids social (Fediverse) : 202.0 Description : Grafana est une plateforme open-source de surveillance et d’observabilité. Les versions de Grafana allant de la 8.0.0-beta1 à la 8.3.0 (à l’exception des versions corrigées) sont vulnérables à une attaque de traversée de répertoire, permettant l’accès à des fichiers locaux. L’URL vulnérable est : <grafana_host_url>/public/plugins//, où correspond à l’identifiant du plugin pour n’importe quel plugin installé. À aucun moment, Grafana Cloud n’a été vulnérable. Il est conseillé aux utilisateurs de mettre à jour vers les versions corrigées 8.0.7, 8.1.8, 8.2.7 ou 8.3.1. L’avis de sécurité GitHub contient plus d’informations sur les chemins URL vulnérables, les mesures d’atténuation et le calendrier de divulgation. Date de publication officielle : 07 December 2021 à 18h25 Posts Fediverse (2 trouvés) 🗨️ piggo – n/d Cisa CISA added the actively exploited Grafana path traversal vulnerability (CVE-2021-43798) to its KEV catalog. IOCs: CVE-2021-43798 #CVE202143798 #Grafana #ThreatIntel ...

Selon l’actualité fournie, Medlab Pathology a subi en février 2022 une attaque informatique avec demande de rançon attribuée au Quantum Group. Environ 86 Go de données ont été dérobées puis publiées sur le dark web quatre mois plus tard, comprenant des données personnelles et de santé de plus de 223 000 individus 🏥🔓. La maison mère, Australian Clinical Labs (ACL), a été sanctionnée par la Federal Court qui a prononcé une amende de 5,8 millions de dollars. La décision est présentée comme historique et « la première du genre ». Un commentaire officiel souligne: “This should serve as a vivid reminder to entities, particularly providers operating within Australia’s healthcare system, that there will be consequences of serious failures to protect the privacy of those individuals whose healthcare and information they hold.” ⚖️ ...

Selon Truesec, cette seconde partie d’analyse examine en profondeur le web shell PHP « Shin », identifié lors d’une réponse à incident, et met en évidence ses fonctions de compromission avancées et ses techniques d’évasion. L’outil, attribué à un auteur indonésien, offre des capacités complètes de post‑exploitation : navigation du système de fichiers, exécution de commandes, manipulation/édition de fichiers, modification des permissions, téléversement de fichiers, et accès/gestion de bases de données via Adminer. Les paramètres sont URL‑encodés et peu obfusqués, laissant des traces dans les journaux du serveur. ...

Source: Expel (blog threat intelligence) — analyse de Marcus Hutchins. Contexte: observation d’une variante de ClickFix exploitant le cache du navigateur pour déposer un ZIP malveillant, tout en se faisant passer pour un vérificateur de conformité Fortinet. 🎣 Leurre et procédé ClickFix: la page de phishing brandée Fortinet affiche un faux chemin \\Public\Support\VPN\ForticlientCompliance.exe. Un clic copie en réalité une commande beaucoup plus longue, remplie d’espaces pour masquer la partie malveillante. Collée dans la barre d’adresse de l’Explorateur, elle lance conhost.exe --headless puis PowerShell en arrière-plan, la portion visible n’étant qu’un commentaire. ...