Cloudflare

Selon BleepingComputer, Microsoft (Digital Crimes Unit) et Cloudflare (Cloudforce One et Trust & Safety) ont mené début septembre 2025 une opération conjointe pour perturber l’opération de Phishing-as-a-Service (PhaaS) « RaccoonO365 », également suivie par Microsoft sous l’identifiant Storm-2246. Mesure de disruption : saisie de 338 sites web et comptes Cloudflare Workers liés à l’infrastructure RaccoonO365. Impact constaté : depuis juillet 2024, le groupe a volé au moins 5 000 identifiants Microsoft dans 94 pays. Les identifiants, cookies et autres données issus de OneDrive, SharePoint et des comptes e-mail ont été réutilisés pour des fraudes financières, extorsions ou comme accès initial à d’autres systèmes. En avril 2025, une campagne massive à thème fiscal a visé plus de 2 300 organisations aux États-Unis ; les kits ont aussi été utilisés contre plus de 20 organisations de santé américaines, avec des risques directs pour les patients (retards de soins, compromission de résultats, fuites de données). ...

Selon le Wall Street Journal (WSJ), les autorités et les entreprises tech affrontent une nouvelle génération de botnets plus puissants, illustrée par Aisuru qui a lancé des attaques DDoS record après un récent démantèlement du FBI. Après l’intervention du FBI, jusqu’à 95 000 appareils compromis se sont retrouvés exposés et ont été rapidement réintégrés par d’autres opérateurs. Le botnet rival Aisuru en a capté plus d’un quart et a aussitôt déclenché des attaques DDoS « battant des records », selon Google. Le 1er septembre, Cloudflare a mesuré un pic à 11,5 Tb/s, présenté comme un record mondial. Ces assauts, très courts (quelques secondes), sont perçus comme des démonstrations de force, et ne refléteraient qu’une fraction de la capacité disponible de l’infrastructure, d’après Nokia Deepfield. ...

Selon Okta Threat Intelligence (sec.okta.com), une analyse détaillée dévoile « VoidProxy », une opération de Phishing-as-a-Service inédite et particulièrement évasive, ciblant des comptes Microsoft et Google et redirigeant les comptes fédérés (SSO tiers comme Okta) vers des pages de phishing de second niveau. • Aperçu de la menace: VoidProxy est un service mature et scalable de phishing en Adversary-in-the-Middle (AitM) capable d’intercepter en temps réel les flux d’authentification pour capturer identifiants, codes MFA et cookies de session, contournant des méthodes MFA courantes (SMS, OTP d’apps). Les comptes compromis facilitent des activités telles que BEC, fraude financière, exfiltration de données et mouvements latéraux. Les utilisateurs protégés par des authentificateurs résistants au phishing (ex: Okta FastPass) n’ont pas pu se connecter via l’infrastructure VoidProxy et ont été alertés. Okta fournit un avis de menace complet (avec IOCs) via security.okta.com et Identity Threat Protection. ...

SecurityWeek rapporte que Cloudflare a annoncé avoir bloqué la plus grande attaque DDoS jamais enregistrée, culminant à 11,5 Tbps, principalement un UDP flood, avec un débit de 5,1 milliards de paquets par seconde (Bpps) et d’une durée d’environ 35 secondes. Un premier message indiquait une origine majoritairement liée à Google Cloud, avant une mise à jour précisant que Google Cloud n’était qu’une source parmi d’autres, aux côtés de plusieurs fournisseurs IoT et cloud. 🛡️ ...

Source: BleepingComputer (Sergiu Gatlan). Cloudflare révèle avoir été impacté par la série de compromissions Salesloft/Drift touchant des environnements Salesforce, avec exfiltration de données textuelles de son CRM de support entre le 12 et le 17 août 2025, après une phase de reconnaissance le 9 août. Cloudflare indique que des attaquants ont accédé à une instance Salesforce utilisée pour la gestion des tickets clients et ont exfiltré uniquement le texte des objets de cas (pas les pièces jointes). Parmi les éléments sensibles potentiellement exposés figurent des informations de contact clients et des contenus de tickets pouvant inclure des clés, secrets, jetons ou mots de passe. L’entreprise a identifié 104 jetons API Cloudflare présents dans ces données et les a tous rotationnés avant la notification clients du 2 septembre, sans activité suspecte détectée à ce stade. ...

L’article publié par PortSwigger met en lumière des recherches menées par James Kettle sur des attaques de désynchronisation HTTP qui révèlent des failles fondamentales dans l’implémentation du protocole HTTP/1.1. Résumé exécutif : Les nouvelles classes d’attaques, telles que les attaques 0.CL et les exploits basés sur l’en-tête Expect, contournent les mitigations existantes et affectent des fournisseurs d’infrastructure majeurs comme Akamai, Cloudflare et Netlify. Un outil open-source est mis à disposition pour détecter systématiquement les divergences de parseur, ayant déjà permis de récolter plus de 200 000 $ en primes de bug bounty. ...

L’incident a été rapporté par BleepingComputer, qui a relayé les explications fournies par Cloudflare concernant la récente panne de son service de résolution DNS 1.1.1.1. Cloudflare a publié un post-mortem pour mettre fin aux spéculations selon lesquelles la panne aurait pu être causée par une cyberattaque ou un détournement de BGP. La société a précisé que l’incident était en réalité dû à une erreur de configuration interne. Cette clarification vise à rassurer les utilisateurs et à rétablir la confiance dans leurs services. ...

L’actualité rapportée par Cloudflare met en lumière une attaque DDoS massive qui a atteint un pic de 7,3 terabits par seconde, marquant un record dans les attaques de ce type. En seulement 45 secondes, l’attaque a généré 37,4 téraoctets de trafic indésirable, soit l’équivalent de plus de 9 300 films HD complets. Cette attaque a visé un client de Cloudflare, dont l’identité n’a pas été révélée, et a touché un total de 34 500 ports, démontrant une planification minutieuse et une exécution sophistiquée. ...

L’article publié par Securonix Threat Research met en lumière une campagne de malware sophistiquée appelée SERPENTINE#CLOUD. Cette campagne utilise les tunnels Cloudflare pour diffuser des charges utiles malveillantes. Les attaquants emploient des fichiers .lnk pour initier la chaîne d’infection, se terminant par un chargeur shellcode basé sur Python. Les fichiers de raccourci (.lnk) sont envoyés via des e-mails de phishing, souvent déguisés en documents liés à des arnaques de paiement ou de factures. Une fois exécutés, ces fichiers déclenchent une séquence d’infection complexe utilisant des scripts batch, VBScript et Python, pour finalement déployer un payload PE emballé par Donut en mémoire. ...

L’article publié sur le blog de Sucuri met en garde contre une nouvelle menace ciblant les utilisateurs de WordPress. Une page de vérification Cloudflare factice est utilisée pour tromper les utilisateurs et diffuser un malware. Cette attaque fonctionne en redirigeant les utilisateurs vers une page qui imite une vérification de sécurité Cloudflare. Les utilisateurs sont invités à compléter une prétendue vérification, ce qui permet au malware de s’installer sur leur système. ...