Posts

Selon ESET Research, HybridPetya a été découvert sur la plateforme de partage d’échantillons VirusTotal. L’équipe précise qu’il s’agit d’un imitateur de Petya/NotPetya, sans détection d’activité in-the-wild dans leur télémétrie au moment de la publication. HybridPetya se distingue de NotPetya/Petya en visant les systèmes modernes basés sur UEFI, où il installe une application EFI malveillante dans la partition système EFI (ESP). 💽 L’application UEFI déployée prend ensuite en charge le chiffrement de la Master File Table (MFT) NTFS, un fichier critique contenant les métadonnées de tous les fichiers d’une partition NTFS. ❗ ...

Selon nltimes.nl (13 septembre 2025), citant des responsables et De Telegraaf, l’Armée royale néerlandaise a officiellement créé à Stroe le 101e bataillon CEMA, qui fusionne des compagnies de guerre électronique et d’opérations cyber afin d’embarquer des hackers au plus près des unités combattantes. Le périmètre opérationnel couvre la perturbation des communications ennemies et la détection de signaux (expérience acquise notamment en Afghanistan avec des véhicules blindés dotés de grandes antennes). Des expérimentations de piratage d’objets connectés (webcams, sonnettes intelligentes, aspirateurs robots) ont permis de collecter du renseignement sur des bâtiments abritant des otages. En contexte ukrainien, des hackers peuvent prendre le contrôle de ponts-levis pour bloquer des avancées sans détruire l’infrastructure. 🧑‍💻📡 ...

Selon XLab (Qianxin), une analyse approfondie du botnet AISURU met en lumière une infrastructure de menace à très grande échelle, créditée d’attaques DDoS record jusqu’à 11,5 Tbps et d’un parc de plus de 300 000 appareils compromis. L’opération serait pilotée par un trio (« Snow », « Tom », « Forky ») et s’étend au-delà du DDoS vers des services de proxy. Les chercheurs décrivent une compromission à large spectre de routeurs (avec un ciblage marqué des appareils Totolink via des serveurs de mise à jour de firmware compromis) et d’autres équipements comme des DVR, en exploitant de multiples CVE. Le botnet supporte plusieurs vecteurs d’attaque, notamment le UDP flooding, et inclut des fonctions de shell distant. ...

Source: BleepingComputer (Bill Toulas), 8 septembre 2025. Le fabricant et détaillant américain de meubles Lovesac avertit par courriel d’une violation de données ayant exposé des informations personnelles, à la suite d’un accès non autorisé à ses systèmes internes. https://ago.vermont.gov/sites/ago/files/documents/2025-09-04%20The%20LoveSac%20Company%20Data%20Breach%20Notice%20to%20Consumers.pdf – Chronologie et faits clés: • 📅 Accès malveillant: du 12 février au 3 mars 2025. • 📍 Découverte: 28 février 2025; remédiation en 3 jours pour bloquer l’accès de l’attaquant. • 🧾 Données compromises: noms complets et autres informations personnelles (détails non communiqués). • 👥 Population touchée: nombre d’individus non divulgué; Lovesac n’a pas précisé s’il s’agit de clients, employés ou sous‑traitants. • 🛡️ Mesures offertes: surveillance de crédit 24 mois via Experian (inscription jusqu’au 28 novembre 2025). • 🔎 État d’usage: la société indique n’avoir aucune indication d’un usage abusif et appelle à la vigilance face au phishing. ...

Selon le blog de Rapid7 (Metasploit Wrap-Up), Metasploit a été enrichi de deux modules d’exploitation RCE visant des vulnérabilités critiques dans Sawtooth Software Lighthouse Studio et le répéteur Wi‑Fi Shenzhen Aitemi M300. • Le module pour Lighthouse Studio (CVE-2025-34300) exploite une injection de template non authentifiée dans l’application web ciwweb.pl (versions antérieures à 9.16.14), permettant l’exécution arbitraire de commandes Perl via des gabarits d’enquête, sur Linux et Windows. • Le module pour Aitemi M300 (CVE-2025-34152) cible une vulnérabilité sur le paramètre time, menant à une exécution de commandes en root sur l’appareil répéteur Wi‑Fi. ...

Selon Check Point Research, un nouveau groupe de ransomware nommé « Yurei » a été découvert le 5 septembre, avec une première victime affichée sur son blog clandestin. 🚨 Découverte: Le groupe Yurei (nommé d’après un esprit du folklore japonais) a été identifié le 5 septembre. Il a initialement revendiqué l’attaque d’une entreprise sri-lankaise de fabrication alimentaire. Fonctionnement du blog: Le blog sur le darknet sert à lister les victimes, à publier des preuves de compromission (par exemple des captures d’écran de documents internes) et à offrir une interface de chat sécurisée pour les négociations avec les opérateurs. ...

Selon Imperva (blog), une analyse de l’efficacité de l’Opération Eastwood contre le groupe hacktiviste pro-russe NoName057(16) montre une perturbation temporaire suivie d’une reprise accélérée des activités. • Impact global: l’opération internationale a saisi plus de 100 serveurs et arrêté des membres clés, imposant une courte pause opérationnelle. Toutefois, le groupe a repris avec une augmentation de 80% du volume d’attaques, la formation de nouvelles alliances et l’extension des cibles aux pays impliqués dans le démantèlement. Le bilan met en évidence la valeur mais aussi les limites des actions de perturbation coordonnées. ...

Selon le blog zsec.uk, cet article décrit le développement de pyLDAPGui, un outil GUI multiplateforme destiné à combler les limites de l’Active Directory Explorer (réservé à Windows) et à s’intégrer aux workflows d’analyse de sécurité. • Présentation générale pyLDAPGui est un navigateur LDAP avec interface graphique permettant la navigation en arborescence et l’export des données vers des formats compatibles BloodHound ainsi que CSV. L’outil vise à faciliter l’exploration des annuaires et s’intègre directement à Neo4j pour les analyses de sécurité. • Caractéristiques techniques ...

Selon Uvalde CISD, un incident de ransomware entraîne la fermeture temporaire des écoles du district, et selon le Southwest Texas College, certains cours associés sont également suspendus. 🗓️ Le district annonce que les établissements seront fermés du lundi 15 septembre au jeudi 18 septembre. Les jours de fermeture seront échangés avec des journées initialement non travaillées dans le calendrier scolaire en cours, conformément à Uvalde CISD. 📚 L’incident affecte aussi les cours en double inscription (dual credit) dispensés via le Southwest Texas College au lycée d’Uvalde. Ces cours sont mis en pause, selon le collège. ...

Selon un billet du blog BushidoToken, le projet Ransomware Tool Matrix déploie un système de Community Reports destiné à faciliter la contribution d’observations de threat intelligence liées aux groupes de ransomware sans obligation de citations publiques. Le dispositif repose sur un gabarit Markdown structuré hébergé sur GitHub, permettant aux contributeurs de documenter l’usage des outils et tactiques de groupes ransomware via des pull requests ou des soumissions via fork. 🧰 L’initiative vise à combler le fossé entre les connaissances issues d’investigations privées (DFIR) et l’intelligence publique, en offrant un format normalisé pour les acteurs tels que prestataires DFIR, MSSP, éditeurs EDR et chercheurs sécurité. 🤝 ...