Posts

📰 Contexte Source : BankInfoSecurity / HealthInfoSec, publié le 18 juin 2026. L’article couvre le règlement judiciaire proposé dans l’affaire de la violation de données MCNA Dental, suite à une attaque ransomware LockBit survenue en 2023. 🎯 L’incident En mars 2023, le groupe LockBit a revendiqué une attaque ransomware contre MCNA Dental (Managed Care of North America), l’un des plus grands prestataires de soins dentaires pour enfants aux États-Unis, filiale de UnitedHealth Group depuis novembre 2020. Les attaquants ont exfiltré 700 gigaoctets de données confidentielles et exigé une rançon de 10 millions de dollars. ...

🗞️ Contexte Source : Blick.ch (ATS – Agence télégraphique suisse), publié le 21 juin 2026. L’article rapporte les suites institutionnelles et politiques d’une cyberattaque par ransomware ayant ciblé la filiale américaine de Ruag, entreprise d’armement appartenant à la Confédération suisse. 🎯 Incident Le groupe cybercriminel Akira a attaqué les systèmes informatiques de Ruag LLC, filiale basée en Virginie (États-Unis), à l’automne 2025. L’attaque a impliqué une double extorsion : vol de données, chiffrement, puis menace de publication sur le dark web en échange d’une rançon. ...

📋 Contexte Signalement reçu par l’Office fédéral de la cybersécurité (OFCS) suisse, publié le 16 juin 2026 dans le cadre de son bilan hebdomadaire. L’information provient d’un signalement citoyen transmis à l’autorité nationale. 🎯 Description de l’attaque La campagne repose sur une méthode d’escroquerie hybride combinant deux vecteurs : Vecteur physique : dépôt dans les boîtes aux lettres de faux avis de passage imitant ceux de la Poste Suisse Vecteur numérique : les documents physiques servent de point d’entrée vers des techniques d’hameçonnage (phishing) en ligne 🏷️ Caractérisation Cette technique, parfois appelée « phishing hybride » ou « smishing/vishing physique », exploite la confiance accordée aux communications postales officielles pour rediriger les victimes vers des infrastructures frauduleuses numériques. L’usurpation de l’identité de la Poste Suisse constitue le prétexte d’ingénierie sociale. ...

📰 Source : BleepingComputer | Date : 19 juin 2026 | Contexte : Divulgation officielle d’une violation de données par une agence gouvernementale texane. 🏛️ Le Texas Parks and Wildlife Department (TPWD), agence d’État gérant la faune, les parcs et les licences de chasse et pêche, a notifié une violation de données survenue chez son prestataire externe de gestion des licences. L’intrusion a été découverte par le Texas Cyber Command, qui a lancé une investigation pour en déterminer l’étendue. ...

🗓️ Contexte Le 12 juin 2026, Widget Factory Limited publie sur le site officiel de JCE (Joomla Content Editor) un avis de sécurité détaillant une vulnérabilité critique affectant toutes les versions de JCE antérieures à 2.9.99.5. La correction initiale a été publiée le 3 juin 2026 (version 2.9.99.5), suivie d’un durcissement supplémentaire le 8 juin 2026 (version 2.9.99.6). 🔍 Nature de la vulnérabilité La vulnérabilité repose sur un import de profil d’éditeur non authentifié via le chemin index.php?option=com_jce&task=profiles.import. Elle permet à un attaquant de : ...

📰 Source : Citizen Lab, publié le 19 juin 2026. Cet article relaye des déclarations médiatiques (Financial Times, New York Times) concernant une nouvelle action judiciaire de Meta contre NSO Group. ⚖️ Contexte judiciaire : Meta/WhatsApp a annoncé son intention de saisir un tribunal américain pour faire constater l’outrage au tribunal de NSO Group. Une ordonnance judiciaire antérieure (émise l’année précédente) interdisait déjà à NSO Group d’utiliser WhatsApp pour cibler des individus. ...

📰 Source : SecurityWeek, publié le 18 juin 2026 par Ionut Arghire. Cisco a publié des correctifs pour plusieurs vulnérabilités affectant ses produits, dont une faille critique dans Identity Services Engine (ISE) et ISE Passive Identity Connector (ISE-PIC). 🔴 Vulnérabilité critique — CVE-2026-20181 (CVSS 9.1) La faille résulte d’une validation insuffisante des entrées utilisateur. Un attaquant distant authentifié disposant de credentials administratifs valides peut envoyer une requête HTTP forgée pour : ...

🔍 Contexte Publié le 17 juin 2026 par Ax Sharma (Head of Research, Manifold Security), cet article de recherche documente deux chemins d’exécution de code locale à haute sévérité dans Cline, l’extension VS Code d’agent de codage IA comptant environ 4,2 millions d’installations sur le VS Code Marketplace et OpenVSX. 🎯 Scénario d’attaque L’attaque cible un workflow développeur courant : cloner un dépôt inconnu et demander à Cline de le configurer. Le contenu du dépôt (README malveillant ou autre contenu lu par l’agent) manipule l’agent pour exécuter des commandes shell arbitraires sous le compte du développeur. L’impact potentiel inclut l’accès aux clés SSH, credentials AWS/GCP, cookies de navigateur, code source et tout ce que le développeur peut atteindre via VPN. Il s’agit d’un pattern confused-deputy dans l’IA agentique. ...

🔍 Contexte Publié le 17 juin 2026 par la Microsoft Defender Security Research Team, cet article documente une attaque supply chain npm de grande envergure ciblant l’écosystème Mastra. Microsoft Threat Intelligence a identifié la compromission et partagé ses conclusions avec l’équipe de sécurité npm, qui a supprimé les packages affectés et révoqué les droits de publication du compte compromis. ⚔️ Déroulement de l’attaque L’attaque s’est déroulée en six phases : Compromission de compte : Prise de contrôle du compte npm ehindero, mainteneur légitime avec droits de publication sur le scope @mastra. Création du typosquat : Publication de easy-day-js, impersonation de la bibliothèque légitime dayjs (57M+ téléchargements hebdomadaires), via un compte anonyme Tutamail. Empoisonnement massif : Publication de nouvelles versions de 140+ packages @mastra injectant easy-day-js@^1.11.21 comme dépendance, toutes taguées latest. Livraison : La plage SemVer ^1.11.21 résout vers la version 1.11.22 contenant le hook postinstall malveillant. Exécution : Le hook déclenche un dropper obfusqué de 4 572 octets (setup.cjs) qui désactive la vérification TLS et contacte le C2. Payload de second stade : Téléchargement et exécution d’un implant Node.js multiplateforme (~41 Ko) en processus détaché. 🎯 Stratégie de livraison en deux phases Phase 1 (leurre propre) : easy-day-js@1.11.21 publié le 16 juin 2026 à 07:05 UTC — code dayjs légitime, sans payload. Phase 2 (armement) : easy-day-js@1.11.22 publié le 17 juin 2026 à 01:01 UTC — ajout de setup.cjs et du hook postinstall. 🛠️ Analyse technique du payload Stage 0 — Dropper obfusqué (setup.cjs) : Tableau de 40 chaînes Base64 mélangées via un seed numérique (0x4c11d), décodées par une fonction personnalisée. ...

🔍 Contexte : Le 17 juin 2026, Rapid7 publie une analyse technique détaillée d’une campagne attribuée au groupe Dropping Elephant, découverte lors d’une chasse proactive aux menaces. L’article documente l’intégralité de la chaîne d’infection, de l’accès initial jusqu’au RAT final en mémoire. 🎯 Vecteur initial : La campagne débute par un fichier LNK malveillant (GRES3001.lnk) déguisé en PDF, utilisant un leurre thématique lié au secteur énergétique chinois — un contrat de réception pour le projet GRES-3 portant sur des pompes de circulation d’eau de mer industrielles. L’ouverture du raccourci déclenche conhost.exe qui lance un téléchargeur PowerShell obfusqué se connectant au serveur de staging chinagreenenergy[.]org. ...