Posts

Source: The DFIR Report (Threat Brief initial publié en mars 2025). Contexte: une intrusion démarrée en septembre 2024 par exécution d’un faux installeur EarthTime, conduisant au déploiement de SectopRAT, puis SystemBC pour le tunneling/proxy, et plus tard du backdoor Betruger. L’attaquant a réalisé reconnaissance, escalade, mouvements latéraux via RDP/Impacket, collecte et exfiltration de données, avant éjection, avec des indices reliant Play, RansomHub et DragonForce. • Point d’entrée et persistance: exécution d’un binaire EarthTime.exe signé avec un certificat révoqué, injectant SectopRAT via MSBuild.exe. Persistance par BITS (copie vers Roaming/QuickAgent2 en ChromeAlt_dbg.exe + lien Startup), création d’un compte local “Admon” (Qwerty12345!) avec privilèges admin. Déploiement de SystemBC (WakeWordEngine.dll/conhost.dll) depuis C:\Users\Public\Music\ via rundll32. ...

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd et enrichies avec les données CIRCL / Vulnerability-Lookup (EPSS, VLAI Severity). 📌 Légende : CVSS : Score de sévérité officielle. EPSS : Probabilité d’exploitation (Exploit Prediction Scoring System). VLAI : Score NLP open-source de sévérité estimée (IA). Poids social : Importance dans le Fediverse. CVE-2024-50264 [CVSS None ⚪] [VLAI High 🟧] Produit : Linux Linux Score CVSS : None ⚪ EPSS : 0.00048 🟩 VLAI : High 🟧 Poids social (Fediverse) : 1823.0 Description : Dans le noyau Linux, la vulnérabilité suivante a été corrigée : vsock/virtio : initialisation d’un pointeur pendu se produisant dans vsk->trans ...

Selon l’APA (Agence de presse autrichienne), le ministère autrichien de l’Intérieur (BMI) a révélé un piratage de son infrastructure IT survenu il y a plusieurs semaines, avec des accès non autorisés à ses serveurs de messagerie. L’annonce a été faite lors d’un point presse samedi. Nature de l’attaque: attaque ciblée et professionnelle avec accès non autorisé aux serveurs e‑mail du BMI. Environ 100 comptes sur 60 000 ont été touchés « en partie ». Le ministère souligne que les contenus sensibles ne sont en principe pas échangés par e‑mail. ...

Selon VirusTotal cité par BleepingComputer, une campagne de phishing exploite des fichiers SVG pour générer de faux portails imitant le système judiciaire colombien, dans le but de distribuer des logiciels malveillants. Le cœur de la menace repose sur des fichiers SVG contenant du contenu malveillant qui, une fois rendus, génèrent des portails factices très convaincants 🎣. Ces pages usurpent l’identité du système judiciaire de Colombie (🇨🇴) afin d’induire les victimes en erreur et de livrer des malwares. TTPs observés: ...

SecurityWeek rapporte que Cloudflare a annoncé avoir bloqué la plus grande attaque DDoS jamais enregistrée, culminant à 11,5 Tbps, principalement un UDP flood, avec un débit de 5,1 milliards de paquets par seconde (Bpps) et d’une durée d’environ 35 secondes. Un premier message indiquait une origine majoritairement liée à Google Cloud, avant une mise à jour précisant que Google Cloud n’était qu’une source parmi d’autres, aux côtés de plusieurs fournisseurs IoT et cloud. 🛡️ ...

Selon un communiqué de presse de la CGN, une activité suspecte a été détectée sur son site web le mardi 2 septembre 2025 en milieu d’après-midi, menant à une mise hors service immédiate du site puis à sa réactivation après mesures correctives. Les analyses ont confirmé la présence d’un script malveillant actif pendant cinq jours avant sa détection. L’attaque a été immédiatement stoppée et des mesures de sécurité renforcées ont été déployées. Le site a été réactivé jeudi après corrections. ...

Selon CYFIRMA (publication de recherche), Salat Stealer, aussi nommé WEB_RAT, est un infostealer sophistiqué écrit en Go ciblant Windows, opéré sous un modèle Malware-as-a-Service par des acteurs russophones. • Capacités et cibles: Le malware vole des identifiants de navigateurs (Chrome, Edge, Firefox, Opera), des données de portefeuilles crypto (Coinomi, Exodus, Electrum) et des sessions utilisateur, avec exfiltration vers ses serveurs C2 via UDP et HTTPS. • Persistance et évasion: Binaire UPX-packé, persistance par clés Run du registre et tâches planifiées, mascarade de processus (ex. Lightshot.exe). Il intègre des fonctions anti‑analyse incluant exclusions Windows Defender, bypass UAC et désactivation de WinRE. ...

Selon Trustwave SpiderLabs (SpiderLabs Blog), des chercheurs détaillent comment des IA intégrées aux SOC et SIEM peuvent être détournées par injection de prompt indirecte à travers des journaux influencés par l’utilisateur. Les auteurs expliquent que des instructions malveillantes insérées dans des logs (ex. en-têtes HTTP, requêtes GET, tentatives d’authentification SSH) sont traitées comme des commandes légitimes par des LLM utilisés dans des chatbots et systèmes RAG pour l’analyse sécurité. Résultat: l’IA peut cacher des attaques, modifier des détails d’événements ou créer de faux incidents 🛑. ...

Selon BleepingComputer, des attaquants abusent des invitations iCloud Calendar pour expédier des emails de phishing “callback” déguisés en notifications d’achat, en s’appuyant sur les serveurs d’email d’Apple afin d’augmenter les chances de contournement des filtres anti-spam et d’atteindre la boîte de réception des cibles. Ces envois prennent la forme d’invitations de calendrier iCloud, qui arrivent sous couvert de notifications légitimes et miment des achats afin d’inciter les victimes à appeler un numéro (callback) ou à interagir. ...

Selon Socket (blog de recherche), l’équipe Threat Research a identifié une attaque coordonnée de la chaîne d’approvisionnement via quatre paquets npm se faisant passer pour des utilitaires crypto et Flashbots, visant les développeurs Web3, les chercheurs MEV et les opérateurs DeFi, avec un risque de pertes financières immédiates et irréversibles. — Détails clés — Type d’attaque : supply chain sur l’écosystème npm avec usurpation d’outils légitimes (crypto/Flashbots). Cible : développeurs Web3, MEV searchers, opérateurs DeFi. Impact : vol d’identifiants et de clés privées de portefeuilles, exfiltrés vers une infrastructure Telegram contrôlée par l’attaquant. — Vecteurs et techniques — ...