Cobalt Strike BEACON

🔍 Contexte Fin 2025, Mandiant (Google Threat Intelligence Group) a répondu à un incident de sécurité impliquant un serveur web compromis exécutant KnowledgeDeliver, un système de gestion de l’apprentissage (LMS) développé par Digital Knowledge, largement utilisé au Japon. L’analyse a été publiée le 25 mai 2026. 🎯 Vulnérabilité exploitée La vulnérabilité, désormais suivie sous CVE-2026-5426, résulte de l’utilisation de valeurs machineKey ASP.NET identiques et codées en dur dans le fichier web.config fourni par le vendeur, partagées entre tous les déploiements clients. Cette configuration standardisée permettait à un acteur malveillant ayant obtenu les clés d’un déploiement de compromettre n’importe quelle instance KnowledgeDeliver exposée sur Internet. ...

🔍 Contexte Publié le 22 avril 2026 par Joe Security LLC sur joesecurity.org, cet article présente une reconstruction technique complète d’une chaîne d’infection multi-étages aboutissant au déploiement d’un Cobalt Strike Beacon stageless. L’analyse a été conduite via Joe Sandbox Cloud Pro et le nouvel outil Joe Reverser. 🧩 Chaîne d’infection L’échantillon initial se présentait comme peu suspect mais dissimulait plusieurs couches d’exécution : Stage 1 : Loader .NET (classe CPLoadNET.Runner.cs) avec mécanisme anti-sandbox vérifiant l’appartenance à un domaine Active Directory Stage 2 : Payload chiffré (XOR + Base64), injecté dans un processus iexplore.exe suspendu via process hollowing Stage 3 : Loader en mémoire qui résout les APIs, mappe les sections, corrige les relocations et transfère l’exécution au beacon Cobalt Strike embarqué 🔐 Protocole C2 et cryptographie Le beacon utilise un schéma cryptographique hybride : ...

🔍 Contexte Publié le 16 mars 2026 par le Google Threat Intelligence Group (GTIG), ce rapport analyse les tactiques, techniques et procédures (TTPs) observées lors des incidents ransomware traités par Mandiant Consulting en 2025. Il couvre des victimes situées en Asie-Pacifique, Europe, Amérique du Nord et du Sud, dans presque tous les secteurs d’activité. 📊 Paysage ransomware 2025 Record historique de posts sur les Data Leak Sites (DLS) en 2025, dépassant 2024 de près de 50% La rentabilité globale est en déclin : taux de paiement de rançon au plus bas historique en Q4 2025 (Coveware), demande moyenne réduite d’un tiers à 1,34 M$ en 2025 contre 2 M$ en 2024 (Sophos) Près de la moitié des victimes ont pu restaurer depuis des sauvegardes en 2024 (contre 28% en 2023 et 11% en 2022) LockBit, ALPHV, Basta et RansomHub ont été perturbés ou ont disparu ; Qilin et Akira ont comblé le vide REDBIKE (Akira) est la famille ransomware la plus déployée : ~30% des incidents Montée en puissance des opérations de data theft extortion seule (sans chiffrement) Ciblage croissant des petites organisations (moins de 200 employés) Adoption de technologies Web3 (ICP blockchain, Polygon smart contracts) pour la résilience des infrastructures Intégration de l’IA dans les opérations (négociations, analyse des victimes) Doublement des familles ransomware cross-platform (Windows + Linux) 🎯 Vecteurs d’accès initial Exploitation de vulnérabilités : 1/3 des incidents (VPNs et firewalls principalement) Fortinet : CVE-2024-21762, CVE-2024-55591, CVE-2019-6693 SonicWall : CVE-2024-40766 Palo Alto : CVE-2024-3400 Citrix : CVE-2023-4966 Microsoft SharePoint : CVE-2025-53770, CVE-2025-53771 (zero-day par UNC6357) SAP NetWeaver : CVE-2025-31324 CrushFTP : CVE-2025-31161 CVE-2025-8088 exploité en zero-day par UNC2165 CVE-2025-61882 exploité contre Oracle EBS (CL0P) Credentials volés : 21% des incidents identifiés (VPN, RDP) Malvertising / SEO poisoning : UNC6016 (→ NITROGEN, RHYSIDA), UNC2465 (→ SMOKEDHAM) Bruteforce : attaques prolongées sur VPNs (ex. Daixin sur près d’un an) Accès via subsidiaires ou tiers (réseaux intermédiaires) Ingénierie sociale : UNC5833 via Microsoft Teams + Quick Assist 🔧 TTPs post-compromission Établissement de foothold : ...