Posts

Source et contexte: Mandiant (blog Google Cloud Threat Intelligence) publie une analyse des tactiques, techniques et procédures d’UNC1549, incluant ses outils personnalisés et malwares ciblant l’écosystème aérospatial et défense. • Intrusion et élévation de privilèges: Après compromission initiale réussie, le groupe pivote vers des campagnes de spear‑phishing visant le personnel IT et les administrateurs pour obtenir des identifiants à privilèges élevés. Les assaillants mènent une reconnaissance dans des boîtes aux lettres déjà compromises (recherche d’anciens emails de réinitialisation de mot de passe, repérage des pages internes de reset) afin de mimer fidèlement les processus légitimes. ...

Source et contexte — ThinkstScapes (Thinkst) publie son édition Q3 2025, un panorama des travaux de sécurité présentés et publiés entre juillet et septembre 2025 (USENIX Security, DEF CON, Black Hat, etc.), structuré autour de quatre thèmes majeurs et d’un volet « Nifty sundries ». • Microsoft-induced security woes. Le numéro détaille une vulnérabilité critique d’Azure/Entra ID via des Actor tokens permettant l’usurpation inter‑tenant d’utilisateurs (jusqu’au Global Admin), en modifiant des parties non signées du JWT et en retrouvant le nameid, le tout sans logs ni rate‑limit. Il montre aussi comment exploiter la page légitime login.microsoftonline.com pour du phishing (tenants contrôlés, pass‑through vers AD on‑prem compromis, branding trompeur, contournement de certaines MFA) en conservant l’URL Microsoft. Côté Windows, « RPC‑Racer » enregistre des endpoints RPC avant les services légitimes pour coercer NTLM via chemins UNC et escalader jusqu’à compromettre un DC. Enfin, des collisions de noms de domaine internes avec des gTLD (.llc, .ad) et des typos NS exposent des hashes NTLM et du trafic à des domaines publics contrôlés par un attaquant. ...

Source : IEEE Security & Privacy (rubrique Last Word, septembre/octobre 2025). Daniel E. Geer, Jr. explore l’idée que la sécurité logicielle entre dans une « ère d’indéterminisme », amplifiée par la complexité des systèmes, les weird machines et l’essor du code généré par IA. L’auteur rappelle que les vulnérabilités se concentrent aux interfaces et que la sécurité n’est pas une propriété composable. En s’appuyant sur les travaux de Bratus et Shubina, il décrit les exploits comme des programmes exploitant des « machines plus riches » émergentes, révélées lorsque les hypothèses des concepteurs sont violées. Des chaînes d’exploitation d’une « complexité impossible » seraient déjà observées, dépassant les approches classiques comme le fuzzing. ...

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd et enrichies avec les données CIRCL / Vulnerability-Lookup (EPSS, VLAI Severity). 📌 Légende : CVSS : Score de sévérité officielle. EPSS : Probabilité d’exploitation (Exploit Prediction Scoring System). VLAI : Score NLP open-source de sévérité estimée (IA). Poids social : Importance dans le Fediverse. CVE-2025-5777 [CVSS 9.3 🟥] [VLAI High 🟧] Produit : NetScaler ADC Score CVSS : 9.3 🟥 EPSS : 0.55194 🟧 VLAI : High 🟧 Poids social (Fediverse) : 910.5 Description : Validation insuffisante des entrées entraînant une lecture mémoire excessive lorsque le NetScaler est configuré en tant que passerelle (serveur virtuel VPN, proxy ICA, CVPN, proxy RDP) OU serveur virtuel AAA. Date de publication officielle : 17 June 2025 à 12h29 Posts Fediverse (13 trouvés) 🗨️ 二本松哲也 – n/d Amazonが発見したAPTによるCisco／Citrixゼロデイ攻撃 AWSのMadPotハニーポットは、Citrix Bleed2（CVE-2025-5777）の公表前攻撃を検知。 その解析過程で、Cisco ISEの未公開エンドポイントを狙うデシリアライズ脆弱性（CVE-2025-20337）を突いた不審ペイロードを特定。 これにより、攻撃者は認証不要で管理者権限を取得できる状況にありました。 ...

Source: BleepingComputer — ASUS a publié un nouveau firmware pour corriger une faille critique de contournement d’authentification affectant plusieurs routeurs DSL, permettant un accès distant non authentifié avec une faible complexité d’attaque et sans interaction utilisateur. • Vulnérabilité: CVE-2025-59367 — contournement d’authentification permettant à un attaquant distant non authentifié de se connecter aux appareils exposés en ligne, via des attaques de faible complexité et sans interaction utilisateur. • Produits et correctif: firmware 1.1.2.3_1010 disponible pour les DSL-AC51, DSL-N16 et DSL-AC750. ASUS recommande d’installer la dernière version depuis la page support ou la page produit. ...

Source: BBC (BBC World Service). Dans une interview exclusive en prison menée par Joe Tidy 🎙️, Vyacheslav “Tank” Penchukov, ex-membre clé de la cyber-escène, raconte son parcours de la bande Jabber Zeus à IcedID et à l’écosystème du ransomware, livrant des détails sur les gangs, leurs méthodes et des acteurs encore en cavale, dont l’énigmatique tête présumée d’Evil Corp. Dans les années 2000, Penchukov dirige la redoutée équipe Jabber Zeus, combinant le malware bancaire Zeus et la messagerie Jabber pour voler directement sur les comptes de PME, collectivités et associations. Au Royaume-Uni, plus de 600 victimes perdent plus de £4M en trois mois. Identifié après l’interception de chats, il échappe à l’opération Trident Breach de l’FBI en Ukraine, avant de tenter une reconversion (commerce de charbon) puis de replonger, évoquant pressions financières et contexte politique (Crimée). ...

Source et contexte: Avis conjoint TLP:CLEAR des agences américaines FBI, CISA, DC3 et HHS, avec la participation d’Europol EC3, de l’Office Anti-Cybercriminalité (France), d’autorités allemandes et du NCSC-NL (Pays-Bas), mis à jour le 13 novembre 2025 dans le cadre de l’initiative #StopRansomware. 🚨 Aperçu de la menace: Les acteurs d’Akira (associés à Storm-1567, Howling Scorpius, Punk Spider, Gold Sahara, et possiblement liés à Conti) ciblent surtout les PME mais aussi de grandes organisations, avec une préférence pour les secteurs de la manufacture, éducation, IT, santé, services financiers et agroalimentaire. Depuis 2023, Akira opère sur Windows et Linux/ESXi; en juin 2025, première attaque sur Nutanix AHV via l’abus de CVE-2024-40766 (SonicWall). Fin septembre 2025, le groupe revendique environ 244,17 M$ de rançons. Des exfiltrations ont été observées en un peu plus de 2 heures après l’accès initial. Le schéma reste double extorsion. Le binaire Megazord serait probablement tombé en désuétude depuis 2024. ...

Source: Ars Technica (Dan Goodin) rapporte qu’Anthropic dit avoir observé la « première campagne de cyberespionnage orchestrée par IA », attribuée à un acteur étatique chinois, tandis que des experts externes en minimisent la portée. Anthropic décrit une opération de cyberespionnage menée par un groupe soutenu par la Chine (suivi comme GTG-1002) qui aurait utilisé Claude/Claude Code comme moteur d’exécution dans un cadre d’attaque autonome, automatisant jusqu’à 90% des tâches, avec seulement 4 à 6 points de décision humains. L’orchestration découpe les opérations en sous-tâches (reconnaissance, accès initial, persistance, exfiltration), enchaînées via une logique d’état et, souvent, le Model Context Protocol (MCP). Les cibles incluaient au moins 30 organisations (grands acteurs technologiques et agences gouvernementales), mais seule une « petite fraction » des intrusions a abouti. ...

L’article rapporte une baisse marquée des paiements de rançon par les entreprises australiennes face aux attaques par ransomware. 📉 La rançon moyenne payée par les entreprises en Australie est tombée à 711 000 AUD, presque divisée par deux par rapport au pic de 1,35 million AUD l’an dernier. Cette évolution reflète des changements d’attitude parmi les dirigeants et une meilleure préparation du secteur. 💸 Les taux de paiement reculent nettement: un sondage auprès de plus de 800 propriétaires et cadres d’entreprises australiennes indique que 64 % des victimes de ransomware au cours des cinq dernières années ont payé, contre 84 % l’an passé. ...

Selon BleepingComputer, le Département de la Justice des États‑Unis (DoJ) a annoncé que cinq individus ont plaidé coupable pour leur rôle dans des stratagèmes de génération de revenus illicites au profit de la Corée du Nord. Le cœur de l’affaire porte sur une opération de police visant des mécanismes de fraude d’employés IT à distance et de vols de cryptomonnaies. Les personnes impliquées ont admis avoir participé à ces activités destinées à alimenter des revenus illicites. ...