AWS

Selon Data Center Dynamics, dans le contexte d’attaques iraniennes en riposte à des frappes US-israéliennes au Moyen-Orient, Amazon Web Services a confirmé que deux centres de données aux Émirats arabes unis ont été directement touchés par des frappes de drones, et qu’un troisième site à Bahreïn a été endommagé par une frappe à proximité. AWS indique que ces attaques ont causé des dégâts structurels, des coupures d’alimentation et, dans certains cas, des dommages liés aux systèmes d’extinction incendie (eau). Dans la région ME-CENTRAL-1, deux zones de disponibilité — mec1-az2 et mec1-az3 — restent fortement dégradées, tandis que mec1-az1 fonctionne normalement mais avec des impacts sur certains services dépendants. ⚠️ ...

Selon BleepingComputer, LexisNexis Legal & Professional a confirmé qu’un tiers non autorisé a accédé à un nombre limité de serveurs, après la mise en ligne par l’acteur FulcrumSec d’une archive de 2 Go présentée comme issue de l’entreprise. Type d’événement : violation de données et intrusion confirmées par LexisNexis L&P. L’entreprise indique que les informations dérobées seraient anciennes et majoritairement non critiques, incluant « certaines données clients et d’entreprise ». ...

Selon GreyNoise Labs, une campagne coordonnée de reconnaissance a visé les infrastructures Citrix ADC Gateway / Netscaler Gateway entre le 28 janvier et le 2 février 2026, combinant découverte de panneaux de connexion et divulgation de versions, avec un taux de ciblage de 79% sur des honeypots Citrix. Vue d’ensemble et objectifs. L’opération comprend deux volets complémentaires: 1) une découverte massive de panneaux de login (109 942 sessions, >63 000 IP sources) via rotation de proxys résidentiels, et 2) une divulgation de versions (1 892 requêtes) depuis 10 IP AWS sur une fenêtre concentrée de 6 heures. L’objectif apparent est de cartographier les instances Citrix exposées et énumérer les versions pour de potentielles étapes ultérieures. ...

Selon The Register, des chercheurs de Wiz ont dévoilé “CodeBreach”, une vulnérabilité de chaîne d’approvisionnement dans AWS CodeBuild due à des regex non ancrées dans les filtres de webhooks (ACTOR_ID), permettant de contourner les protections sur les pull requests non fiables. AWS a corrigé en septembre après divulgation en août et déclare qu’aucun environnement client ou service AWS n’a été impacté. Nature du problème: regex ACTOR_ID non ancrées (manque des caractères ^ et $) dans des projets CodeBuild publics connectés à GitHub. Cela autorisait des bypass de l’allowlist des mainteneurs si l’ID GitHub de l’attaquant contenait (superstring) l’ID autorisé. Wiz qualifie l’ensemble de “CodeBreach” et estime que l’impact potentiel aurait pu être “plus grave que SolarWinds”, touchant jusqu’au SDK JavaScript AWS utilisé par 66 % des environnements cloud, y compris la Console AWS. ...

Source : DeceptIQ — Article « Product Insights » signé Rad Kawar (14 décembre 2025). Le billet explique comment des « S3 honey buckets » permettent de rendre visible l’OSINT non authentifié contre AWS, offrant une détection très précoce dans la kill chain. Le texte décrit les pratiques d’énumération cloud côté adversaire et Red Team : sur Azure, des outils comme AADInternals et onedrive_user_enum; sur AWS, GrayHatWarfare et surtout cloud_enum qui teste des noms de buckets prévisibles (ex. « deceptiq-dev », « deceptiq-backup »). Pour AWS Apps (SSO), l’énumération DNS est indétectable, mais pour S3 c’est différent car la vérification passe par des requêtes HTTP vers les FQDN des buckets. ...

Source: Trend Micro (blog de recherche Trend Vision One). Contexte: poursuite de l’enquête sur l’attaque supply chain NPM du 15 septembre et nouveaux incidents signalés le 24 novembre avec des centaines de dépôts mentionnant Sha1‑Hulud: The Second Coming. L’analyse décrit un malware Shai‑hulud 2.0 ciblant les écosystèmes cloud et développeurs. Il vole des identifiants et secrets de AWS, GCP, Azure, ainsi que des tokens NPM et jetons GitHub, et exploite les services de gestion de secrets (AWS Secrets Manager, GCP Secret Manager, Azure Key Vault). Il met en place un C2 via GitHub Actions (création d’un dépôt contrôlé par l’attaquant sous le compte de la victime, déploiement d’un runner auto‑hébergé nommé SHA1HULUD, workflows de commande), et inclut un mécanisme destructif effaçant les données si le vol d’identifiants échoue. ☁️🪱 ...

Selon watson.ch, la Poste suisse adopte une stratégie «Cloud-First» en misant principalement sur les infrastructures d’AWS et Microsoft Azure, soulevant des préoccupations internes et publiques sur la souveraineté numérique, la dépendance technologique et la conformité juridique. La Poste prévoit, dans le cadre de «Future Works», de migrer jusqu’à 95% des workloads vers la cloud publique de AWS et Microsoft Azure, «là où la loi le permet». La porte-parole précise un stockage des données en Suisse et en Allemagne et le respect des exigences légales. Certaines activités restent On-Premise pour des raisons réglementaires, notamment l’e-voting et IncaMail. La Poste s’appuyait jusqu’ici sur des data centers de PostFinance; cette dernière, «propriétaire» de l’infrastructure, n’a pas d’«exit strategy», tandis que la Poste veut minimiser l’usage de ces capacités. ...

Selon Darknet.org.uk, CloudConqueror est présenté comme un outil qui cartographie et abuse de l’API AWS CloudControl pour des activités de découverte, d’énumération de ressources et de persistance. L’article met en avant que l’outil sert autant aux attaquants qu’aux défenseurs, en montrant comment tester la couverture de détection et renforcer les environnements cloud ☁️🛡️. Points clés mentionnés: Cartographie de la surface d’attaque de l’API AWS CloudControl. Abus de l’API pour la découverte et l’énumération de ressources. Mise en place de mécanismes de persistance. TTPs observés (d’après l’extrait): ...

Selon Unit 42 (Palo Alto Networks), le conglomérat « Scattered Lapsus$ Hunters » — incluant Muddled Libra, Bling Libra et des acteurs LAPSUS$ — mène des campagnes coordonnées d’extorsion basées sur le vol de données contre des clients Salesforce, tout en poursuivant ses activités malgré la saisie par le FBI de domaines liés à BreachForums. • Menaces et opérations: Les acteurs ciblent des plateformes cloud, notamment des locataires Salesforce et des environnements AWS, pour exfiltrer des données clients sans déployer de chiffrement ni de ransomware, privilégiant une extorsion par vol de données. Bling Libra a lancé un modèle Extortion-as-a-Service (EaaS) avec une commission de 25–30% sur les paiements, et opère un DLS (data leak site) listant 39 organisations. Le groupe collabore avec de nouveaux collectifs, dont Crimson Collective. ...

Source: Rapid7 Labs — Rapid7 présente l’observation d’un nouveau groupe de menace, « Crimson Collective », actif contre des environnements AWS avec un objectif d’exfiltration de données suivie d’extorsion. Le groupe revendique notamment une attaque contre Red Hat, affirmant avoir dérobé des dépôts GitLab privés. 🚨 Nature de l’attaque: le groupe exploite des clés d’accès long-terme AWS divulguées, s’authentifie (via l’UA TruffleHog), puis tente d’établir une persistance en créant des utilisateurs IAM et des clés d’accès. Lorsque possible, il attache la politique AdministratorAccess pour obtenir un contrôle total. Dans les comptes moins privilégiés, il teste l’étendue des permissions via SimulatePrincipalPolicy. ...