Exfiltration De Données

Source: Tom’s Hardware (Jowi Morales). Le média rapporte la revendication par le groupe de hackers Crimson Collective d’un piratage de Nintendo, accompagnée d’une capture d’écran partagée sur X par la société de renseignement Hackmanac. Le groupe affirme avoir accédé à des données de Nintendo, illustrées par des dossiers censés contenir des assets de production, des fichiers développeurs et des sauvegardes. Nintendo n’a pas communiqué sur l’incident, laissant planer l’incertitude sur l’authenticité de la preuve. ...

« BlackSuit Blitz » : une attaque dévastatrice contre un fabricant mondial d’équipements Le groupe Ignoble Scorpius, opérant le rançongiciel BlackSuit, a récemment frappé un grand fabricant international, selon une analyse de Unit 42 (Palo Alto Networks). L’incident, baptisé “BlackSuit Blitz”, illustre comment une simple compromission d’identifiants VPN peut déclencher une crise d’entreprise majeure. Du vishing à l’exfiltration de 400 Go L’attaque a débuté par un appel de hameçonnage vocal (vishing) : un employé, pensant parler au support interne, a saisi ses identifiants VPN sur un faux portail. À partir de là, les assaillants ont : ...

Selon une publication d’Omer Mayraz, une vulnérabilité critique baptisée « CamoLeak » affectait GitHub Copilot Chat, permettant l’exfiltration silencieuse de secrets et de code depuis des dépôts privés et le contrôle des réponses de Copilot. GitHub a corrigé le problème en désactivant complètement le rendu des images dans Copilot Chat au 14 août 2025. • Découverte et impact. En juin 2025, l’auteur identifie une faille (CVSS 9.6) dans GitHub Copilot Chat qui, via prompt injection à distance, permet d’orienter les réponses (incluant la suggestion de code malveillant ou de liens) et d’exfiltrer des données de dépôts privés auxquels l’utilisateur victime a accès. Le comportement tient au fait que Copilot agit avec les mêmes permissions que l’utilisateur. ...

Source : Socket (blog Socket.dev) — Rapport de recherche sur l’abus des webhooks Discord comme infrastructure de commande et contrôle (C2) pour l’exfiltration de données. Le rapport met en évidence une tendance croissante où des acteurs malveillants exploitent les webhooks Discord comme C2 afin d’exfiltrer des données sensibles depuis des systèmes compromis. Ces campagnes s’appuient sur des paquets malveillants publiés sur npm, PyPI et RubyGems, qui envoient des informations collectées vers des salons Discord contrôlés par les attaquants, dès l’installation du paquet. ...

Source: Rapid7 Labs — Rapid7 présente l’observation d’un nouveau groupe de menace, « Crimson Collective », actif contre des environnements AWS avec un objectif d’exfiltration de données suivie d’extorsion. Le groupe revendique notamment une attaque contre Red Hat, affirmant avoir dérobé des dépôts GitLab privés. 🚨 Nature de l’attaque: le groupe exploite des clés d’accès long-terme AWS divulguées, s’authentifie (via l’UA TruffleHog), puis tente d’établir une persistance en créant des utilisateurs IAM et des clés d’accès. Lorsque possible, il attache la politique AdministratorAccess pour obtenir un contrôle total. Dans les comptes moins privilégiés, il teste l’étendue des permissions via SimulatePrincipalPolicy. ...

Source: Emerging Technology Security — Contexte: des chercheurs de Unit 42 détaillent une démonstration d’attaque montrant comment des adversaires peuvent empoisonner la mémoire longue d’un agent LLM via l’injection de prompt indirecte, avec Amazon Bedrock Agent comme étude de cas. Les chercheurs expliquent que lorsque la mémoire d’agent est activée, des instructions malicieuses injectées par ingénierie sociale peuvent manipuler le processus de synthèse de session, conduisant à l’enregistrement de commandes persistantes qui survivront aux sessions futures. Ces instructions empoisonnées sont ensuite réintroduites dans les prompts d’orchestration comme contexte « système », permettant l’exécution discrète d’objectifs d’attaquants (ex. exfiltration de données). ...

Selon Legit Security, des chercheurs ont découvert une vulnérabilité critique (CVSS 9.6) affectant GitHub Copilot Chat, permettant l’exfiltration silencieuse de secrets et de code source depuis des dépôts privés, tout en manipulant les réponses/suggestions de Copilot. • Contexte et impact: La faille combinait un contournement de la Content Security Policy (CSP) via l’infrastructure Camo proxy de GitHub et des prompt injections distantes insérées dans des commentaires invisibles de descriptions de pull requests. Exploitée, elle permettait d’accéder à des dépôts privés avec les permissions de la victime et de voler des informations sensibles (dont des vulnérabilités zero-day et des clés AWS), et de contrôler les réponses/suggestions de Copilot. ...

Source: Cybereason — Cybereason décrit une campagne d’exfiltration de données menée par le groupe CL0P entre juillet et septembre 2025 contre des déploiements on‑premise d’Oracle E‑Business Suite (EBS). L’opération, similaire aux précédentes campagnes de CL0P (ex. MOVEit), s’appuie sur des vulnérabilités corrigées dans la CPU Oracle de juillet 2025. Oracle a confirmé l’exploitation de failles déjà identifiées et a exhorté à appliquer immédiatement les correctifs. Les vulnérabilités exploitées incluent CVE-2025-30746 (iStore), CVE-2025-30745 (MES for Process Manufacturing) et CVE-2025-50107 (Universal Work Queue). Classées de sévérité moyenne, elles sont exploitables à distance via HTTP par des attaquants non authentifiés, avec une certaine interaction utilisateur requise. Les correctifs sont disponibles depuis la CPU de juillet 2025. ...

Selon une communication officielle de l’entreprise, un serveur d’Okuma Europe GmbH (OEG), filiale allemande d’Okuma, a été compromis par un accès non autorisé et infecté par un ransomware. 🚨 L’entreprise indique une infection par ransomware d’un serveur d’Okuma Europe GmbH en Allemagne, consécutive à un accès non autorisé. Elle évoque un risque d’exfiltration de certaines données personnelles et d’informations confidentielles. 🛠️ La réponse en cours comprend : Enquête sur les violations de sécurité de l’information et rétablissement du système affecté, avec l’appui d’experts externes. Signalement de l’incident à la police et aux autorités compétentes en Allemagne. 📊 Portée et impacts : ...

Selon Radware (radware.com), des chercheurs ont mis au jour ShadowLeak, une attaque zero‑click exploitant l’agent Deep Research de ChatGPT lorsqu’il est connecté à Gmail et à la navigation web, permettant une exfiltration de données côté service depuis l’infrastructure d’OpenAI. L’attaque, basée sur une injection indirecte de prompt camouflée dans le HTML d’un email, a atteint un taux de réussite de 100% avant correction et a été corrigée par OpenAI début août 2025. ...