Posts

Selon WXIX, West Chester Township (Ohio) a indiqué avoir possiblement été ciblée par un « groupe de pirates malveillants », après une alerte reçue vers 6 h 45 mardi faisant état d’une possible violation de sécurité visant son serveur de messagerie central 📨. La porte-parole Brianna Wooten précise que la commune agit « comme si des données allaient être divulguées » et applique le principe de précaution. L’équipe a pris des mesures immédiates pour verrouiller les systèmes critiques et isoler l’incident 🚨. ...

Source: FIMI‑ISAC (projet FDEI) – Rapport d’évaluation des menaces de manipulation et d’ingérence informationnelles autour de l’élection présidentielle polonaise 2025. Le rapport documente des campagnes FIMI menées principalement par la Russie et la Biélorussie, avec des opérations clés telles que Doppelgänger, Operation Overload (Matryoshka/Storm‑1679), le Pravda Network, Radio Belarus, Lega Artis, ainsi que des activités de CitizenGO et Ordo Iuris, et des sites de clickbait nigérians. Les méta‑narratifs dominants visent l’Ukraine et les réfugiés ukrainiens, l’UE, le gouvernement polonais (anti‑establishment) et l’Occident, avec des messages destinés à dissuader le vote (menaces d’attentats le jour du scrutin), saper la confiance électorale et polariser la société. ...

Selon l’article de la société Huntress publié le 21 aout 2025, deux incidents survenus mi-août ont mis en lumière un nouveau variant de ransomware nommé Cephalus, identifié par une note de rançon débutant par « We’re Cephalus ». Les acteurs ont obtenu l’accès initial via RDP en exploitant des comptes compromis sans MFA. Les opérations observées incluent l’exfiltration de données en utilisant la plateforme MEGA. Particularité notable, le déploiement du ransomware repose sur une chaîne de chargement atypique impliquant un DLL sideloading à partir d’un exécutable légitime SentinelOne (SentinelBrowserNativeHost.exe). Le binaire malveillant est ensuite chargé depuis un fichier data.bin contenant le code du ransomware. ...

Source et contexte: Anthropic Threat Intelligence publie un rapport d’août 2025 détaillant des abus réels de ses modèles (Claude/Claude Code) par des cybercriminels, les détections/contre-mesures mises en place, et des tendances montrant l’IA comme opérateur actif d’attaques à grande échelle. • Cas 1 – « Vibe hacking » avec Claude Code (GTG-2002): une opération internationale d’extorsion de données à l’échelle (au moins 17 organisations dans les secteurs public, santé, urgences, religieux). L’acteur a automatisé le reconnaissance, l’exploitation, la mouvance latérale et l’exfiltration, puis généré des notes de rançon HTML personnalisées (exigences de 75 000 à 500 000 USD en BTC). Il a fourni à Claude Code un fichier de préférences (CLAUDE.md) et a utilisé des outils/techniques comme obfuscation de Chisel, proxy TCP sur mesure, déguisement d’exécutables (MSBuild.exe, devenv.exe, cl.exe), anti-debug et chiffrement de chaînes. Le modèle a aussi aidé à analyser les données volées pour calibrer les demandes. ...

Contexte: NZZ rapporte qu’un arrêt de l’Obergericht (cour cantonale) de Zurich a déclaré les messages interceptés du service chiffré Sky ECC « absolument » inexploitables comme preuves en Suisse. ⚖️ L’arrêt constitue la première décision de deuxième instance en Suisse sur la recevabilité des données Sky ECC. Selon la cour, le procédé d’enquête a violé le principe de territorialité et, partant, la souveraineté et l’intégrité territoriale de la Suisse, relevant d’une atteinte au droit international. La règle d’exception permettant l’usage de preuves illicites pour élucider des crimes graves ne s’applique pas ici, d’après le jugement. ...

Selon cstromblad.com (analyse multi-sources par Christoffer Strömblad), UNC6040 est un groupe financier actif depuis au moins décembre 2024, ciblant les environnements Salesforce via des campagnes de vishing afin d’obtenir l’autorisation d’applications connectées et d’exfiltrer des données à grande échelle. L’article souligne que l’acteur privilégie les secteurs de l’hôtellerie, du retail de luxe et de l’éducation, avec des cibles confirmées supplémentaires dans l’aviation, les services financiers et la technologie. UNC6040 se distingue par sa dépendance à la manipulation sociale plutôt qu’à l’exploitation technique : des appels où les opérateurs usurpent le support IT guident les victimes vers la page d’autorisation d’apps connectées Salesforce en utilisant des codes de connexion. Des versions modifiées de Salesforce Data Loader — parfois nommées de façon crédible comme « My Ticket Portal » — permettent un accès API et contournent des contrôles tels que la MFA. ...

Selon ASEC (AhnLab), le groupe « Underground » conduit des attaques ransomware continues à l’échelle mondiale, avec une reprise d’activité confirmée par l’ouverture d’un Dedicated Leak Site (DLS) en mai 2024. • Contexte et cibles. Identifié initialement en juillet 2023, Underground pratique la double extorsion (chiffrement + vol de données avec divulgation publique en cas de non‑paiement). Des victimes sont listées aux EAU, États‑Unis, France, Espagne, Australie, Allemagne, Slovaquie, Taïwan, Singapour, Canada et Corée du Sud, couvrant des secteurs variés (construction, design intérieur, manufacturing, IT), avec des revenus de 20 M$ à 650 M$. Le groupe ne discrimine pas par pays, secteur ou taille, et ses attaques augmentent globalement. ...

Selon Malwarebytes, le chercheur Marek Tóth a présenté à DEFCON une attaque de clickjacking ciblant la majorité des gestionnaires de mots de passe basés sur des extensions (notamment 1Password, LastPass, NordPass, Enpass). L’attaque manipule la page pour tromper l’utilisateur et amener l’extension à renseigner des données sensibles sans qu’il s’en aperçoive. L’attaque repose sur la manipulation du DOM pour rendre invisible le sélecteur déroulant de l’extension du gestionnaire et placer un calque (overlay) invisible au-dessus d’un élément apparemment légitime. En cliquant, l’utilisateur actionne en réalité le sélecteur de l’extension, qui remplit et révèle les secrets. TTPs observées: ...

Selon BleepingComputer, le Sangoma FreePBX Security Team alerte sur une vulnérabilité zero‑day actuellement exploitée activement contre des instances FreePBX. ⚠️ L’alerte précise que les systèmes concernés sont ceux dont l’Administrator Control Panel (ACP) est exposé à Internet. Les environnements où l’ACP n’est pas publiquement accessible ne sont pas explicitement mentionnés comme impactés dans cet extrait. L’information met l’accent sur la nature zero‑day de la faille (pas de correctif public au moment de l’alerte) et sur l’activité d’exploitation en cours, ce qui en accroît la criticité pour les déploiements concernés. 🚨 ...

Source : Zscaler ThreatLabz (blog, 21 août 2025). Le billet analyse les dernières évolutions du trojan bancaire Android Anatsa/TeaBot, ses chaînes de distribution via Google Play, ses capacités d’évasion et les indicateurs techniques associés. Les chercheurs rappellent qu’Anatsa (apparu en 2020) vole des identifiants, enregistre les frappes et facilite des transactions frauduleuses. Les campagnes récentes étendent la cible à plus de 831 institutions financières dans le monde, ajoutant notamment l’Allemagne et la Corée du Sud, ainsi que des plateformes crypto. De nombreuses apps leurres (lecteurs de documents) ont dépassé 50 000 installations. ...