Posts

Dans un rapport publié par SentinelOne, l’entreprise met en lumière une surface d’attaque souvent négligée : les fournisseurs de sécurité eux-mêmes. SentinelOne a récemment observé et défendu contre une variété d’attaques allant de crimewares motivés financièrement à des campagnes sur mesure menées par des acteurs étatiques avancés. Ces incidents, bien que spécifiques à SentinelOne, ne sont ni nouveaux ni uniques à cette entreprise. Les adversaires récents incluent des travailleurs informatiques de la Corée du Nord se faisant passer pour des candidats à l’emploi, ainsi que des opérateurs de ransomware cherchant à accéder et abuser de la plateforme de SentinelOne. De plus, des acteurs parrainés par l’État chinois ont ciblé des organisations alignées avec les activités et la clientèle de SentinelOne. ...

Cet article, publié le 2 mai 2025, met en lumière les tactiques évolutives des groupes de ransomware qui continuent de cibler les réseaux privés virtuels (VPN) comme principal vecteur d’accès aux systèmes d’entreprise. Malgré une amélioration de la couverture de l’authentification multi-facteur (MFA) par les organisations, les acteurs malveillants adaptent leurs méthodes pour compromettre ces systèmes. Cette adaptation pourrait inclure des techniques plus sophistiquées pour contourner les mesures de sécurité renforcées. ...

Selon un article de BleepingComputer, la cyberattaque contre Co-op est bien plus grave que ce qui avait été initialement rapporté. Co-op a confirmé que des données sensibles concernant un nombre significatif de clients actuels et passés ont été volées. L’attaque a été révélée après que l’entreprise ait constaté des anomalies dans ses systèmes informatiques. Les premières investigations ont montré que les attaquants ont réussi à accéder à des informations critiques, compromettant ainsi la sécurité des données personnelles des clients. ...

Selon un article publié par GBHackers Security, une série de vulnérabilités majeures, baptisées “AirBorne”, a été découverte dans le protocole et le SDK AirPlay d’Apple. Ces failles permettent des attaques critiques, notamment une exécution de code à distance (RCE) sans interaction de l’utilisateur, qualifiée de “zero-click” et “wormable”. Le risque est particulièrement élevé car ces vulnérabilités permettent à des attaquants de prendre le contrôle de dispositifs Apple et tiers via le Wi-Fi, sans nécessiter d’interaction de la part de l’utilisateur. Cette situation pourrait affecter des milliards de dispositifs à travers le monde. ...

Selon une étude de Bitdefender, une campagne massive d’arnaques par abonnement est en cours, impliquant des centaines de sites frauduleux. Ces sites, d’un réalisme convaincant, vendent de tout, des chaussures aux vêtements, en passant par divers appareils électroniques, et trompent les gens pour qu’ils paient des abonnements mensuels et donnent volontairement leurs données de carte de crédit. Beaucoup de ces sites sont liés à une seule adresse à Chypre, probablement le domicile d’une entreprise offshore. ...

Selon un extrait d’actualité récent, les acteurs de la menace ransomware continuent de cibler les vecteurs d’accès à distance, les réseaux privés virtuels (VPN) restant le point d’entrée le plus dominant. Cependant, on observe des changements dans la manière dont les groupes de ransomware cherchent à compromettre les VPN, en particulier à mesure que les organisations continuent d’améliorer la couverture de l’authentification multi-facteurs (MFA). Les groupes de ransomware ont été moins actifs au fur et à mesure que le trimestre progressait. Les données du site de fuites montrent une baisse de 50% de l’activité de janvier à mars. Bien que le changement d’activité puisse rendre les tendances plus significatives qu’elles ne le sont, cette baisse pourrait également être liée à un changement de tactiques. ...

L’équipe de recherche sur les menaces de Socket a découvert des paquets Python malveillants conçus pour créer un tunnel via Gmail, selon un article de socket.dev. Ces paquets, nommés Coffin-Codes-Pro, Coffin-Codes-NET2, Coffin-Codes-NET, Coffin-Codes-2022, Coffin2022, Coffin-Grave et cfc-bsb, utilisent Gmail, rendant ces tentatives moins susceptibles d’être signalées par les pare-feu et les systèmes de détection de points d’extrémité, car le protocole SMTP est couramment traité comme un trafic légitime. Une fois le tunnel créé, l’acteur de la menace peut exfiltrer des données ou exécuter des commandes que nous ne connaissons peut-être pas à travers ces paquets. L’e-mail de l’acteur de la menace est le seul indice potentiel quant à sa motivation. ...

Selon un article de Cointelegraph, Ledger, une entreprise spécialisée dans les portefeuilles de cryptomonnaie, a averti ses utilisateurs d’une tentative d’escroquerie par courrier. Les escrocs envoient des lettres physiques aux propriétaires de portefeuilles de cryptomonnaie Ledger, les invitant à valider leurs phrases secrètes pour accéder aux portefeuilles et les vider. Jacob Canfield, un commentateur technologique, a partagé une lettre d’escroquerie qu’il a reçue, qui semblait provenir de Ledger et demandait une « mise à jour de sécurité critique » sur son appareil. ...

🔐 Grafana : Incident de sécurité GitHub sans impact client 🗓 Publié le 27 avril 2025 sur grafana.com 🎯 Contexte Grafana Labs a récemment détecté une activité suspecte sur l’un de ses dépôts GitHub. L’incident, rapidement identifié grâce à l’usage de canary tokens, concernait un workflow GitHub Actions vulnérable. Aucun environnement de production ni donnée client n’a été compromis. 🔍 Détails de l’incident Vecteur d’attaque : exploitation d’un workflow GitHub public nouvellement activé. Méthode : un acteur malveillant a forké un dépôt Grafana, injecté une commande curl pour exfiltrer les variables d’environnement, puis supprimé le fork. Impact : seul un nombre limité de jetons d’automatisation a été exposé. Aucun artefact de production, pipeline de build ou donnée sensible n’a été affecté. 🛡️ Réponse de sécurité Grafana a rapidement mis en œuvre plusieurs actions correctives : ...

Selon un article de blog, des vulnérabilités affectant l’appareil SonicWall SMA100 sont actuellement exploitées. Ces vulnérabilités ont été découvertes il y a quelques mois et ont attiré l’attention en raison de rumeurs d’exploitation de systèmes SonicWall en milieu sauvage. Les vulnérabilités concernées sont CVE-2024-38475 et CVE-2023-44221. La première, découverte par Orange Tsai, concerne une lecture de fichier arbitraire avant authentification sur le serveur HTTP Apache. La seconde, découverte par Wenjie Zhong (H4lo) du laboratoire Webin de DBappSecurity Co., Ltd, concerne une injection de commande après authentification. Ces vulnérabilités ont été ajoutées à la liste des vulnérabilités exploitées connues par CISA. ...