Cybersécurité

L’article publié par SecureList de Kaspersky décrit une campagne de minage de crypto-monnaie qui utilise des API Docker exposées pour propager un malware de manière autonome. Cette attaque ne nécessite pas de serveur de commande et de contrôle, s’appuyant sur la croissance exponentielle du nombre de conteneurs infectés pour se propager. Lors d’une évaluation de compromission, des analystes ont détecté des conteneurs exécutant des activités malveillantes. L’analyse a révélé que l’attaquant a accédé à l’infrastructure conteneurisée en exploitant une API Docker publiée de manière non sécurisée, compromettant ainsi les conteneurs en cours d’exécution et en créant de nouveaux pour miner la crypto-monnaie Dero et lancer des attaques externes. ...

Microsoft Threat Intelligence a publié un rapport sur Void Blizzard, un nouvel acteur de menace affilié à la Russie, qui mène des opérations de cyberespionnage ciblant principalement des organisations importantes pour les objectifs du gouvernement russe. Ces cibles incluent les secteurs gouvernementaux, de la défense, des transports, des médias, des ONG et de la santé, principalement en Europe et en Amérique du Nord. Void Blizzard utilise des identifiants volés, souvent achetés sur des marchés en ligne, pour accéder aux organisations et voler de grandes quantités d’emails et de fichiers. En avril 2025, ils ont commencé à utiliser des méthodes plus directes pour voler des mots de passe, telles que l’envoi de faux emails pour tromper les utilisateurs. ...

L’article de The Record rapporte que plusieurs sénateurs démocrates ont interpellé la secrétaire à la Sécurité intérieure, Kristi Noem, pour rétablir le Cyber Safety Review Board (CSRB). Ce conseil est important pour poursuivre les enquêtes sur des cyberattaques ayant des liens avec la Chine. Les sénateurs soulignent l’importance de ce conseil pour comprendre et répondre aux menaces croissantes en matière de cybersécurité. Le CSRB avait précédemment joué un rôle clé dans l’analyse des attaques et la formulation de recommandations pour améliorer la sécurité nationale. ...

L’équipe de recherche de CYFIRMA a découvert un nouveau ransomware nommé Lyrix lors de la surveillance de forums clandestins, dans le cadre de leur processus de découverte de menaces. Ce ransomware est développé en Python et compilé avec PyInstaller, ce qui lui permet de fonctionner comme un exécutable autonome sur les systèmes Windows. Il utilise une encryption forte et ajoute une extension unique ‘.02dq34jROu’ aux fichiers chiffrés. Lyrix se distingue par ses techniques d’évasion avancées et ses mécanismes de persistance, rendant sa détection et sa suppression difficiles. Il obfusque ses comportements malveillants, contourne les systèmes de détection basés sur des règles, et menace de divulguer les données volées sur des forums clandestins. ...

L’annonce a été faite par le Secrétaire à la Défense, John Healey, lors d’une visite au quartier général cybernétique militaire britannique à MOD Corsham. Ce développement s’inscrit dans le cadre du Strategic Defence Review (SDR) et vise à renforcer la sécurité nationale et à créer des emplois qualifiés. Le Royaume-Uni investira plus de 1 milliard de livres dans un système de ‘Digital Targeting Web’ pour améliorer l’intégration des systèmes d’armes des forces armées et accélérer les décisions sur le champ de bataille. Ce système permettra de détecter et d’éliminer les menaces ennemies plus rapidement, en s’appuyant sur des leçons tirées du conflit en Ukraine. ...

Mardi 27.05 matin, un virus informatique a été détecté sur les serveurs de Mediehuset Altaposten, perturbant plusieurs de leurs services. Cet incident a impacté la production de l’édition papier du journal ainsi que les émissions de Radio Alta. En réponse à l’attaque, Mediehuset Altaposten a dû isoler le virus de type ransomware en éteignant plusieurs de ses services, y compris la radio, la télévision et les programmes de production de journaux, à l’exception du site web qui est resté opérationnel. Cette mesure drastique visait à contenir l’attaque et à protéger les autres systèmes. ...

Cet article, publié par SquareX Labs, met en lumière les attaques Browser-in-the-Middle (BitM), une méthode où un attaquant utilise les fonctionnalités d’un navigateur pour établir une connexion de bureau à distance non détectée dans le navigateur de la victime. Un défaut majeur de l’attaque BitM est que la victime doit accéder à un site malveillant et effectuer une action pour ouvrir une fenêtre pop-up noVNC. Cependant, l’adresse URL malveillante dans la barre d’adresse du navigateur parent peut éveiller les soupçons des utilisateurs avertis. ...

L’article publié par Cybernews qui reporte des articles de Danwatch et Der Spiegel révèle une fuite massive de données concernant les sites nucléaires modernisés de la Russie, trouvée dans une base de données de marchés publics. Les journalistes ont analysé plus de deux millions de documents, découvrant que des plans détaillés des sites nucléaires russes, y compris des silos de missiles, étaient accessibles publiquement. Cette fuite inclut des plans de construction, des schémas d’équipements, et d’autres documents sensibles. ...

L’article publié par BleepingComputer met en lumière une nouvelle méthode utilisée par des acteurs malveillants pour contourner les outils de sécurité en ligne. En exploitant la plateforme de confiance Google Apps Script, ces acteurs parviennent à héberger des pages de phishing qui paraissent légitimes. Google Apps Script, une plateforme généralement utilisée pour automatiser des tâches sur Google Workspace, est détournée de son usage initial pour créer des pages de phishing. Cette méthode permet aux attaquants de masquer leurs intentions malveillantes derrière la réputation de confiance de Google, rendant ainsi leurs attaques plus difficiles à détecter. ...

L’article de Le Monde Informatique met en lumière une vulnérabilité critique (CVE-2025-3928) affectant Commvault, exploitée par des pirates pour accéder à des secrets d’environnements SaaS, y compris Microsoft 365. La CISA (Cybersecurity and Infrastructure Security Agency) des États-Unis a émis un avertissement concernant l’exploitation de la faille CVE-2025-3928, qui affecte la solution de sauvegarde Metallic Microsoft 365 de Commvault hébergée dans Azure. Cette vulnérabilité a été exploitée par des acteurs malveillants, possiblement soutenus par des États, pour accéder à des secrets de clients. ...