<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/">
  <channel>
    <title>Invoke-ShareFinder on CyberVeille</title>
    <link>https://cyberveille.ch/tags/invoke-sharefinder/</link>
    <description>Recent content in Invoke-ShareFinder on CyberVeille</description>
    <generator>Hugo -- 0.146.0</generator>
    <language>fr-fr</language>
    <copyright>Cyberveille CC BY-NC-SA 4.0</copyright>
    <lastBuildDate>Wed, 01 Jul 2026 00:00:00 +0000</lastBuildDate>
    <atom:link href="https://cyberveille.ch/tags/invoke-sharefinder/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>BumbleBee et AdaptixC2 utilisés pour déployer le ransomware Akira via SEO poisoning</title>
      <link>https://cyberveille.ch/posts/2026-07-01-bumblebee-et-adaptixc2-utilises-pour-deployer-le-ransomware-akira-via-seo-poisoning/</link>
      <pubDate>Wed, 01 Jul 2026 00:00:00 +0000</pubDate>
      <guid>https://cyberveille.ch/posts/2026-07-01-bumblebee-et-adaptixc2-utilises-pour-deployer-le-ransomware-akira-via-seo-poisoning/</guid>
      <description>&lt;h2 id=&#34;-contexte&#34;&gt;🔍 Contexte&lt;/h2&gt;
&lt;p&gt;Rapport d&amp;rsquo;incident publié le 29 juin 2026 par The DFIR Report, basé sur deux intrusions survenues en juillet 2025, dont une analysée en partenariat avec &lt;strong&gt;Swisscom B2B CSIRT&lt;/strong&gt;. L&amp;rsquo;analyse couvre l&amp;rsquo;intégralité de la chaîne d&amp;rsquo;attaque, de l&amp;rsquo;accès initial au déploiement du ransomware.&lt;/p&gt;
&lt;h2 id=&#34;-accès-initial&#34;&gt;🎯 Accès initial&lt;/h2&gt;
&lt;p&gt;L&amp;rsquo;intrusion débute par une attaque de &lt;strong&gt;SEO poisoning sur Bing&lt;/strong&gt;, ciblant des utilisateurs recherchant &lt;strong&gt;ManageEngine OpManager&lt;/strong&gt;. Les victimes sont redirigées vers le domaine &lt;code&gt;opmanager[.]pro&lt;/code&gt;, un clone du site légitime, puis vers &lt;code&gt;download-center[.]online&lt;/code&gt; pour télécharger un &lt;strong&gt;installateur MSI trojanisé&lt;/strong&gt;. Ce MSI dépose trois fichiers dans &lt;code&gt;%TEMP%\ApplicationInstallationFolder_11&lt;/code&gt; :&lt;/p&gt;</description>
    </item>
  </channel>
</rss>
