IOC

Trustwave SpiderLabs a publié une analyse reliant avec une haute confiance le groupe de menaces Blind Eagle, également connu sous le nom de APT-C-36, au fournisseur russe d’hébergement à toute épreuve Proton66. Ce groupe cible activement les organisations en Amérique latine, en mettant un accent particulier sur les institutions financières colombiennes. L’analyse a révélé que Blind Eagle utilise une infrastructure caractérisée par des interconnexions fortes entre plusieurs domaines et clusters d’adresses IP, exploitant des fichiers Visual Basic Script (VBS) comme vecteur d’attaque initial. Ces scripts servent de chargeurs pour des outils de seconde étape, notamment des Trojans d’accès à distance (RATs) disponibles publiquement. ...

Cet article publié par Avi Lumelsky sur Oligo Security Research met en lumière une vulnérabilité critique d’exécution de code à distance (RCE) identifiée dans le MCP Inspector d’Anthropic. Cette faille, référencée sous le code CVE-2025-49596, a un score CVSS de 9.4, indiquant son niveau de gravité élevé. La vulnérabilité permet à des attaquants de réaliser des attaques basées sur le navigateur en exploitant des failles de rebinding DNS et de configuration par défaut non sécurisée. En visitant un site web malveillant, un développeur utilisant MCP Inspector pourrait voir son système compromis, permettant à un attaquant d’exécuter des commandes arbitraires, de voler des données, ou d’installer des portes dérobées. ...

Cet article, rédigé par Dave Cossa, un opérateur senior en red teaming chez X-Force Adversary Services, explore les vulnérabilités potentielles d’Azure Arc, un service de Microsoft permettant la gestion de ressources hybrides. Azure Arc est conçu pour étendre les capacités de gestion natives d’Azure à des ressources non-Azure, telles que des systèmes sur site et des clusters Kubernetes. Cependant, des mauvais configurations dans son déploiement peuvent permettre une escalade de privilèges et l’utilisation d’un Service Principal surprovisionné pour exécuter du code. ...

L’article publié par Dennis Heinze et Frieder Steinmetz le 26 juin 2025 met en lumière des vulnérabilités critiques découvertes dans les appareils audio Bluetooth utilisant les SoCs Airoha. Ces vulnérabilités ont été présentées lors de la conférence TROOPERS. Les appareils concernés, tels que les casques et écouteurs Bluetooth, exposent un protocole personnalisé permettant la manipulation du dispositif, notamment la lecture et l’écriture en mémoire RAM et flash. Ces failles sont accessibles via Bluetooth sans nécessiter d’authentification, rendant possible la compromission des appareils à portée de Bluetooth. ...

L’article publié par Adam Kues le 1er juillet 2025 décrit une série de vulnérabilités XSS persistantes découvertes dans Adobe Experience Manager (AEM) Cloud. Ces vulnérabilités ont été exploitées à trois reprises, permettant l’exécution de scripts malveillants sur chaque site utilisant cette plateforme. Les chercheurs ont d’abord remarqué que le chemin /.rum était utilisé pour charger des fichiers JavaScript depuis un CDN, ce qui a permis d’exploiter des failles de sécurité pour injecter des scripts malveillants. La première attaque a tiré parti d’une erreur de validation de chemin, permettant de charger un fichier HTML malveillant depuis un package NPM hébergé sur Unpkg. ...

L’article publié par The DFIR Report décrit une attaque sophistiquée exploitant un serveur RDP exposé pour obtenir un accès initial par une attaque de password spraying. Cette méthode a ciblé de nombreux comptes sur une période de quatre heures. Les attaquants ont utilisé des outils comme Mimikatz et Nirsoft pour récolter des identifiants, accédant notamment à la mémoire LSASS. Pour la phase de découverte, ils ont employé des binaries living-off-the-land ainsi que des outils comme Advanced IP Scanner et NetScan. ...

L’équipe de recherche sur les menaces de ReliaQuest a publié une analyse détaillée sur une nouvelle vulnérabilité critique, CVE-2025-5777, surnommée ‘Citrix Bleed 2’. Cette faille affecte les dispositifs NetScaler ADC et Gateway de Citrix, permettant aux attaquants de détourner des sessions utilisateur et de contourner les mécanismes d’authentification, y compris l’authentification multifacteur (MFA). Bien qu’il n’y ait pas encore de rapports publics d’exploitation, ReliaQuest a observé des indicateurs d’activités malveillantes suggérant que des attaquants exploitent cette vulnérabilité pour obtenir un accès initial. Les signes incluent le détournement de sessions web Citrix, des requêtes LDAP suspectes, et l’utilisation d’outils de reconnaissance comme ‘ADExplorer64.exe’. ...

L’article publié sur le blog de cybersécurité d’Any.Run offre une analyse détaillée des cyberattaques marquantes survenues en juin 2025. Parmi les attaques notables, le Braodo Stealer est mis en avant pour son exploitation de GitHub comme vecteur d’attaque. Ce malware a su tirer parti des fonctionnalités de la plateforme pour se propager efficacement, posant des défis significatifs en termes de détection et de prévention. En parallèle, le NetSupportRAT a été distribué via des LOLBins (Living Off the Land Binaries), une technique qui utilise des outils légitimes déjà présents sur les systèmes pour exécuter des actions malveillantes. Cette méthode rend la détection plus complexe et souligne l’ingéniosité croissante des cybercriminels. ...

L’article publié par Cyberveille met en lumière une série d’attaques hacktivistes dirigées contre des cibles américaines suite aux frappes aériennes américaines sur des sites nucléaires iraniens le 21 juin. Des groupes tels que Mr Hamza, Team 313, Cyber Jihad et Keymous+ ont revendiqué des attaques DDoS visant les domaines de l’US Air Force, des grandes entreprises américaines de l’aérospatiale et de la défense, ainsi que plusieurs banques et sociétés de services financiers. ...

GreyNoise a rapporté une augmentation notable des activités de scan ciblant les systèmes MOVEit Transfer depuis le 27 mai 2025. Avant cette date, l’activité de scan était minimale, avec généralement moins de 10 IPs observés par jour. Au cours des 90 derniers jours, 682 IPs uniques ont été identifiés par le tag MOVEit Transfer Scanner de GreyNoise. Parmi ces IPs, 303 (44%) proviennent de Tencent Cloud (ASN 132203), ce qui en fait l’infrastructure la plus active. D’autres fournisseurs sources incluent Cloudflare (113 IPs), Amazon (94), et Google (34). ...