Posts

Source: Cisco Talos — Dans une analyse technique, Talos détaille une campagne de ransomware DeadLock utilisant un loader BYOVD inédit pour exploiter la vulnérabilité du driver Baidu Antivirus (CVE-2024-51324), neutraliser les EDR, étendre l’accès puis chiffrer des systèmes Windows avec un algorithme maison. Exploitation BYOVD et évasion des défenses. L’acteur place un loader (« EDRGay.exe ») et le driver vulnérable de Baidu renommé (« DriverGay.sys ») dans le dossier Vidéos, initialise le périphérique « \.\BdApiUtil » et envoie un IOCTL 0x800024b4 (fonction 0x92D) pour forcer, en mode noyau, la terminaison des processus EDR (ZwTerminateProcess) sans vérification de privilèges — T1211: Exploitation for Defense Evasion. Cette étape désactive les défenses et élève les privilèges pour préparer le chiffrement. ...

Selon Dragos, ce rapport de menace couvre le T3 2025 (juillet-septembre) et analyse les tendances ransomware visant les environnements ICS/OT et les systèmes IT qui soutiennent les opérations industrielles. • Volume et cibles : Dragos recense 742 incidents ransomware (+) touchant des entités industrielles, avec l’Amérique du Nord en tête, suivie de l’Europe puis de l’Asie (hausse en Thaïlande). Le secteur manufacturier concentre 72% des cas (532), dont la construction (142) comme sous-secteur le plus affecté. D’autres secteurs en hausse incluent gouvernement (35) et électrique/renouvelables (16). Les impacts montrent comment des intrusions IT peuvent perturber la production et la logistique sans toucher directement les réseaux ICS. ...

Selon Palo Alto Networks (Unit 42), un nouveau ransomware nommé 01flip a été observé dès juin 2025, utilisé par le cluster financier CL-CRI-1036 contre un nombre limité de victimes en Asie-Pacifique, incluant des entités d’infrastructures critiques en Asie du Sud-Est. Les opérateurs demandent 1 BTC et communiquent via e‑mail/messagerie privée. Une publication sur forum clandestin évoque des fuites concernant des victimes aux Philippines et à Taïwan, bien que 01flip lui‑même n’intègre pas d’exfiltration. Aucune vitrine de double extorsion n’a été constatée. ...

Selon des chercheurs de ReversingLab, 19 extensions malveillantes ont été identifiées sur le Marketplace VS Code, la majorité embarquant un fichier malveillant se faisant passer pour une image PNG. Campagne malveillante ciblant VS Code via des dépendances piégées 1. Contexte général Les chercheurs de ReversingLabs ont identifié une campagne active depuis février 2025, découverte le 2 décembre 2025, impliquant 19 extensions malveillantes Visual Studio Code publiées sur le VS Code Marketplace. ...

Selon Cyber Security News, Apple a publié le 12 décembre 2025 les mises à jour iOS 26.2 et iPadOS 26.2 pour corriger deux 0‑days WebKit activement exploités, ainsi que plus de 30 vulnérabilités supplémentaires touchant plusieurs composants. 🚨 0‑days WebKit activement exploités CVE-2025-43529 (WebKit): vulnérabilité de use-after-free permettant une exécution de code arbitraire via du contenu web malveillant; découverte par Google Threat Analysis Group (TAG). CVE-2025-14174 (WebKit): corruption mémoire; créditée à Apple et Google TAG. Les deux failles sont liées à des campagnes de spyware ciblées, ciblant des utilisateurs spécifiques d’iPhone sur des versions antérieures à iOS/iPadOS 26. Autres correctifs critiques 🛠️ ...

Selon une déclaration du ministère des Affaires étrangères allemand, le service de renseignement militaire russe GRU est tenu pour responsable d’une attaque informatique survenue en août 2024, et la Russie aurait tenté, via la campagne Storm 1516, d’influencer et de déstabiliser la dernière élection de février. 🇩🇪 Attribution officielle: le GRU est désigné comme auteur de l’attaque d’août 2024. 🇷🇺 Opération d’influence: la campagne Storm 1516 est accusée d’avoir visé l’ingérence et la déstabilisation du scrutin de février. 💻 Les éléments communiqués relèvent d’une prise de position publique des autorités allemandes, soulignant l’aspect à la fois cyber (attaque informatique) et informationnel (ingérence électorale) de la menace. ...

Selon BleepingComputer, une nouvelle campagne liée au malware AMOS cible les utilisateurs via des publicités Google et des conversations se présentant comme Grok ou ChatGPT. La campagne abuse des Google Search Ads pour attirer les victimes vers des conversations Grok/ChatGPT qui paraissent « utiles ». Ces échanges servent de leurre et conduisent à l’installation du voleur d’informations AMOS sur macOS. L’élément central de l’attaque est un leurre conversationnel crédible, orchestré après un premier contact via malvertising. L’issue décrite est l’infection macOS par AMOS (info-stealer). ...

Selon TechCrunch (techcrunch.com), le PDG de Coupang, Park Dae-jun, a quitté ses fonctions après une fuite de données massive ayant exposé les informations personnelles de plus de la moitié de la population sud-coréenne. Park a présenté des excuses publiques, évoquant un fort sentiment de responsabilité pour la survenue de l’incident et la gestion de la réponse. 🧑‍💼 Coupang avait initialement indiqué en novembre que plus de 4 500 clients étaient concernés, avant de réviser ce chiffre à la hausse pour atteindre près de 34 millions de personnes. L’entreprise précise que l’intrusion aurait débuté en juin et n’a été détectée qu’en novembre. 🔐 ...

Analyse Threat Research publiée par la Sophos Counter Threat Unit (CTU) (“GOLD SALEM tradecraft for deploying Warlock ransomware”, 11 décembre 2025). Objectif : documenter l’évolution du mode opératoire d’un groupe cybercriminel (GOLD SALEM) sur 6 mois et 11 incidents, en reliant précurseurs, outillage, infrastructure et tentatives de déploiement de ransomware Warlock. Tactiques GOLD SALEM pour déployer Warlock (Warlock / LockBit / Babuk) 1) Constat & attribution Sophos CTU observe des intrusions (mars → septembre 2025) attribuées avec haute confiance à un acteur cherchant à déployer Warlock ransomware (groupe GOLD SALEM). Mise en contexte : en juillet 2025, Microsoft signale des déploiements Warlock via la chaîne d’exploit ToolShell sur SharePoint on-prem (Storm-2603 chez Microsoft, GOLD SALEM chez Sophos). Sur 11 incidents : certains vont jusqu’à une tentative ou déploiement de ransomware (Warlock le plus souvent), d’autres sont des précurseurs (pré-positionnement / staging / accès / outillage). 2) Chaîne d’attaque (vue “kill chain”) Accès initial Souvent indéterminé faute de preuves. Plusieurs cas via exploitation SharePoint, dont un cas via la chaîne ToolShell après disponibilité d’exploits publics. Exemple technique : processus SharePoint w3wp.exe qui lance msiexec.exe, menant au téléchargement/installation d’outils (ex. Velociraptor) depuis des sous-domaines Cloudflare Workers workers[.]dev. Persistance & création de comptes Création de comptes admin pour persistance : net user backupadmin abcd1234 admin_gpo abcd1234 net1 localgroup administrators lapsadmin1 /add Accès aux identifiants / credential dumping Repérage de lsass.exe : tasklist /v /fo csv | findstr /i "lsass.exe" Utilisation probable de MiniDump via comsvcs.dll pour extraire des hash/identifiants. Mention d’un Mimikatz packé (au moins un incident). Dans un incident : outil de dump mots de passe Veeam. Exécution / Post-exploitation Usage “LOTL” et outillage légitime : Velociraptor (outil DFIR) détourné : déploiement à partir de v2.msi / v3.msi VS Code en mode tunnel (code.exe ou vscode.exe) comme canal C2 / accès distant Cloudflared (tunnel Cloudflare) parfois déployé Autres outils vus en staging : OpenSSH, Radmin, MinIO client, SecurityCheck (inventaire logiciels sécurité) Évasion / neutralisation de la défense Outil “AV/EDR killer” : vmtools.exe (et variantes). BYOVD (Bring Your Own Vulnerable Driver) avec drivers : rsndispot.sys / rspot.sys (métadonnées liées à un éditeur chinois) kl.sys parfois ServiceMouse.sys Suspicion de DLL side-loading (Java via jli.dll) dans certains cas (non confirmé). Command & Control / infrastructure Forte utilisation de Cloudflare Workers (workers[.]dev) pour : staging d’outils, serveur C2 pour Velociraptor, et/ou relai pour tunnels (VS Code / Cloudflared). Rotation d’infrastructure après publication CTU : nouveau domaine qgtxtebl[.]workers[.]dev observé en septembre. 3) Impact observé (ransomware) Variants vus : Warlock, LockBit 3.0, Babuk (ESXi). Warlock semble dérivé du builder LockBit 3.0 leaké (hypothèse partagée par d’autres rapports selon l’article). Extensions de chiffrement associées à Warlock : .x2anylock (principalement), parfois .xlockxlock. Notes de rançon : variations (qTox ID multiples), parfois mention explicite “Warlock Group”. Publication des victimes sur un site de fuite Tor (tiles + compte à rebours → fuite/vente des données si rançon non payée). 4) Victimologie & discussion Certains secteurs “intéressants” (télécom, nucléaire, R&D avancée…) pourraient évoquer une motivation opportuniste ou plus stratégique, mais Sophos conclut : groupe financièrement motivé, pas de preuve d’espionnage ni de direction étatique. Indices “faible confiance” d’une composante chinoise : TTPs/infrastructure, drivers d’éditeurs chinois, ciblage Russie/Taïwan, recoupements SharePoint. 🧠 TTPs (MITRE ATT&CK — synthèse) Initial Access : exploitation appli web (SharePoint / ToolShell) Execution : msiexec.exe, PowerShell encodé ; exécution via Velociraptor Persistence : création de comptes admin (net user, localgroup administrators) Credential Access : dump LSASS (comsvcs.dll / MiniDump), Mimikatz (packé), dump Veeam Defense Evasion : kill AV/EDR (vmtools), BYOVD (drivers rsndispot.sys, kl.sys, ServiceMouse.sys), possible DLL side-loading (jli.dll) Command and Control : tunnels via VS Code tunnel, Cloudflared, infra Cloudflare Workers Collection/Discovery : inventaire outils sécurité via SecurityCheck, exploration via “Everything” (un incident) Impact : chiffrement (Warlock/LockBit/Babuk), note de rançon, leak site 🔎 IoCs / Indicateurs (extraits de l’article Sophos) Domaines / URL files[.]qaubctgg[.]workers[.]dev (staging) velo[.]qaubctgg[.]workers[.]dev (C2 Velociraptor, août 2025) royal-boat-bf05[.]qgtxtebl[.]workers[.]dev (C2 Velociraptor, sept. 2025) hxxps://stoaccinfoniqaveeambkp[.]blob[.]core[.]windows[.]net/veeam/ (Azure blob : stockage outil) Fichiers / noms caractéristiques Notes de rançon : How to decrypt my data.log, How to decrypt my data.txt Installers/outils (staging observé) : v2.msi, v3.msi, cf.msi, ssh.msi, site.msi, code.exe, code.txt, sc.msi, radmin-en.msi, radmin.reg, mc, mc.exe, DEP.7z Hashes (sélection) vmtools.exe (AV/EDR killer) ...

Selon un article d’actualité du 13 décembre 2025 publié par The Register, le collectif hacktiviste pro‑russe CyberVolk fait son retour après plusieurs mois de silence avec un nouveau service de ransomware‑as‑a‑service (RaaS). La « mauvaise nouvelle » mise en avant est le lancement, à la fin de l’été, de CyberVolk 2.x (aka VolkLocker), une opération RaaS. Elle est entièrement pilotée via Telegram ✈️, ce qui abaisse fortement la barrière à l’entrée pour les affiliés. ...