Posts

Selon bka.de, dans un communiqué du 20 mars 2026, la ZACNRW et le Bundeskriminalamt (BKA) ont mené le 19/03/2026 une opération internationale avec le Canada et les États‑Unis pour démanteler deux des plus grands botnets actuels, Aisuru et Kimwolf. 🚔 Les autorités ont neutralisé l’infrastructure technique mondialement répartie des deux botnets. Deux administrateurs présumés ont été identifiés; des perquisitions ont eu lieu en Allemagne et au Canada, avec saisies de nombreux supports de données et de cryptomonnaies (montant à cinq chiffres). L’action s’inscrit dans des enquêtes de plusieurs mois, techniquement complexes et étroitement coordonnées à l’international. ...

Selon Socket (socket.dev), une nouvelle attaque de chaîne d’approvisionnement visant l’écosystème Trivy a été détectée à partir d’environ 19:15 UTC, distincte du précédent incident OpenVSX/VS Code. L’attaque cible l’action GitHub officielle aquasecurity/trivy-action et transforme des références de versions largement utilisées en vecteur de distribution d’un infostealer. L’acteur a force-push 75 des 76 tags de version du dépôt aquasecurity/trivy-action afin de les faire pointer vers de nouveaux commits malveillants, tout en conservant une apparence légitime via des métadonnées spoofées. Plus de 10 000 workflows GitHub référencent ces tags, amplifiant le rayon d’impact. Les tags compromis « restent actifs » au moment de la rédaction. Le tag 0.35.0 est le seul non empoisonné, car il pointe déjà vers le commit parent utilisé par l’attaquant (57a97c7e). Des indices de fraude incluent l’absence de signatures GPG d’origine, des dates incohérentes (dates anciennes avec un parent de mars 2026) et des commits ne modifiant que entrypoint.sh. Des « releases immuables » ont été publiées lors du poisonnement, compliquant le rétablissement. Homebrew a déjà amorcé des retours arrière. ...

Contexte: Selon Akamai, cité dans un article de presse publié le 19 mars 2026, l’activité cybercriminelle a fortement augmenté depuis le début du conflit lié à l’Iran. Le rapport fait état d’une hausse de 245% d’activités malveillantes, couvrant notamment le credential harvesting et la reconnaissance automatisée. Ces actions visent des banques et d’autres entreprises critiques. L’article souligne que des hacktivistes utilisent des services proxy basés en Russie et en Chine pour mener des « billions of designed-for-abuse connection attempts » 🔥, illustrant une industrialisation des connexions abusives. ...

Selon Ctrl-Alt-Intel, qui s’appuie sur les travaux initiaux de Hunt.io et des avis de CERT-UA et ESET, une erreur d’OPSEC d’APT28/FancyBear a exposé un open-directory sur un VPS NameCheap (203.161.50.145) opérant au moins depuis septembre 2024, révélant le code source C2, des payloads XSS, des modules d’exfiltration et des journaux détaillant des compromissions en Ukraine, Roumanie, Bulgarie, Grèce, Serbie et Macédoine du Nord. Les chercheurs ont trouvé une seconde opendir sur le même serveur que celle décrite par Hunt.io (port 8889, janvier–mars 2026), contenant des preuves substantielles d’opérations en cours : plus de 2 800 emails exfiltrés, plus de 240 jeux d’identifiants (dont mots de passe et secrets TOTP 2FA), 140+ règles Sieve de redirection furtive, et 11 500+ contacts récoltés. L’infrastructure (zhblz[.]com ↔ 203.161.50.145) était déjà reliée par CERT-UA en 2024 à de l’exploitation de Roundcube (CVE-2023-43770) et à des leurres ClickFix. ...

Aura indique qu’une partie autorisée a accédé à près de 900 000 enregistrements clients contenant des noms et adresses e‑mail. Selon BleepingComputer, l’entreprise de protection d’identité Aura a confirmé qu’une partie « autorisée » a accédé à près de 900 000 enregistrements clients. Organisation touchée: Aura (protection d’identité) Nature de l’incident: accès par une partie autorisée à des enregistrements clients Volume: près de 900 000 enregistrements Données concernées: noms et adresses e‑mail Impact résumé: exposition de données personnelles limitées aux champs précisés (noms, e‑mails). Aucune autre catégorie de données ou détail technique n’est mentionné dans l’extrait. ...

Selon BleepingComputer, CISA a ordonné aux agences gouvernementales américaines de sécuriser leurs serveurs confrontés à une vulnérabilité activement exploitée affectant Zimbra Collaboration Suite (ZCS). Vulnérabilité Zimbra (CVE-2025-66376) Détails Produit : Zimbra Collaboration Suite (ZCS) Type : Stored XSS Gravité : élevée Patch : novembre 2025 Description La vulnérabilité affecte l’interface : C l a s s i c U I Elle permet à un attaquant distant non authentifié de : ...

ConnectWise avertit ses clients d’une vulnérabilité de vérification de signature cryptographique dans ScreenConnect pouvant permettre un accès non autorisé et une élévation de privilèges. Selon BleepingComputer, ConnectWise met en garde les clients de ScreenConnect au sujet d’une vulnérabilité de vérification de signature cryptographique susceptible d’entraîner un accès non autorisé et une élévation de privilèges. ⚠️ ConnectWise ScreenConnect : faille critique de vérification cryptographique (CVE-2026-3564) Résumé ConnectWise a publié un correctif pour CVE-2026-3564, une vulnérabilité critique affectant ScreenConnect dans les versions antérieures à 26.1. Le problème peut permettre un accès non autorisé et une élévation de privilèges si un attaquant parvient à obtenir le matériel cryptographique serveur utilisé pour l’authentification de session. ConnectWise a renforcé la protection des ASP.NET machine keys dans la version 26.1, notamment via un stockage chiffré et une meilleure gestion des clés. :contentReference[oaicite:0]{index=0} ...

Source: pwn.guide — Publication technique présentant une vulnérabilité critique dans GNU InetUtils telnetd, avec explications détaillées et PoC. 🚨 Vulnérabilité: CVE-2026-32746 est un débordement de tampon pré-authentification dans le gestionnaire LINEMODE SLC de GNU InetUtils telnetd (versions jusqu’à 2.7). La fonction add_slc() écrit des triplets SLC (3 octets chacun) dans un buffer fixe de 108 octets sans contrôle de bornes, débordant après ~35 triplets (104 octets utiles). CVSS 3.1: 9.8 (Critique); CWE-120 / CWE-787. ...

Selon Inside IT (Suisse), la commune de Matten, près d’Interlaken, a été visée par une cyberattaque durant le week‑end des 14 et 15 mars 2026. L’attaque a entraîné le chiffrement de certaines données, qui ont pu être intégralement restaurées 🔐. Les premières analyses indiquent qu’aucune donnée n’a été volée. Les systèmes particulièrement sensibles — dont le registre des habitants et des étrangers, les systèmes financiers et le système de gestion des affaires — n’ont à aucun moment été affectés 🛡️. Le fonctionnement de l’administration a été assuré, la mairie étant de toute façon fermée le week‑end. ...

Google Threat Intelligence Group alerte sur DarkSword, un toolkit proposant une chaîne d’exploits complète pour compromettre des appareils iOS via plusieurs vulnérabilités, dont des zero-days, utilisé pour le cyberspionnage et des activités criminelles. Selon Securityinfo.it, Google Threat Intelligence Group (une unité de Google Cloud dédiée à la cybersécurité) a publié un billet de blog alertant sur « DarkSword », un toolkit proposant une chaîne d’exploits capable de compromettre entièrement des appareils iOS. ...