IOC

🏥 Contexte Publié le 8 avril 2026 par The Register, cet article rapporte la découverte par le chercheur Nick Hatter de plusieurs sous-domaines du namespace scot.nhs.uk compromis et utilisés pour héberger des liens vers du contenu adulte et des streams sportifs illégaux. 🔍 Domaines concernés Domaine compromis (The New Surgery, Kilmacolm) : thenewsurgery-kilmacolm-langbank.scot.nhs.uk — ancien domaine du cabinet, non utilisé depuis au moins 2019 Domaine compromis (Lerwick GP Practice, Shetland) : domaine actuellement en usage par le cabinet, servant des liens illicites Des liens malveillants ont été indexés par Google, certains créés dès janvier 2026 ⚙️ Vecteur d’attaque suspecté Les requêtes dig montrent que les domaines NHS pointent correctement vers WP Engine, suggérant que la compromission est intervenue côté WordPress (CMS). Les hypothèses avancées incluent : ...

📰 Source : Sekoia TDR (blog.sekoia.io) — Date de publication : 7 avril 2026 (rapport FLINT TLP:AMBER distribué le 30 mars 2026) Contexte EvilTokens est un kit de Phishing-as-a-Service (PhaaS) apparu depuis mi-février 2026, spécialisé dans le device code phishing Microsoft et la fraude BEC (Business Email Compromise). Cet article constitue la partie 2 d’une analyse technique approfondie publiée par l’équipe TDR de Sekoia. Fonctionnement du PhaaS Le service est opéré via Telegram par l’administrateur eviltokensadmin, qui propose trois produits : ...

🗓️ Contexte Article publié le 9 avril 2026 par Malwarebytes sur Security Boulevard. Il s’agit d’une analyse technique d’une campagne de distribution de malware via un faux site de support Windows, ciblant principalement les utilisateurs francophones. 🎣 Vecteur d’infection La campagne repose sur le domaine typosquatté microsoft-update[.]support, qui imite une page officielle Microsoft. Le site, rédigé entièrement en français, propose une fausse mise à jour cumulative Windows 24H2 avec un numéro d’article KB plausible. Le fichier distribué est WindowsUpdate 1.0.0.msi (83 Mo), construit avec WiX Toolset 4.0.0.5512, créé le 4 avril 2026, avec des métadonnées usurpant l’identité de Microsoft. ...

📅 Source : Blog officiel d’Objective Development (obdev.at), publié le 8 avril 2026 par Christian. 🔍 Contexte Face aux préoccupations croissantes sur la dépendance aux logiciels contrôlés par des entités étrangères, le développeur de Little Snitch (macOS) a exploré Linux comme alternative. Constatant l’absence d’outil équivalent à Little Snitch sur Linux, il a décidé de le construire. ⚙️ Architecture technique Interception du trafic : eBPF au niveau kernel (haute performance, portable) Backend : écrit en Rust Interface utilisateur : application web (permet la surveillance à distance depuis n’importe quel appareil) Compatibilité : développé sur Ubuntu 25.10 avec kernel 6.17, confirmé fonctionnel sur kernel 6.12+. Compatibilité théorique jusqu’au kernel 5.17 (introduction de bpf_loop()), couvrant Debian 12 et Ubuntu 24.04 LTS. 🔓 Modèle open source ...

🌐 Contexte Publié le 7 avril 2026 par Lumen Technologies (source : ir.lumen.com), ce rapport annuel « Defender Threatscape 2026 » est produit par Black Lotus Labs, la division de recherche et d’opérations sur les menaces de Lumen. Il s’appuie sur une visibilité backbone couvrant 99% des adresses IPv4 publiques, avec monitoring quotidien de plus de 200 milliards de sessions NetFlow et requêtes DNS, 2,3 millions de menaces uniques et 46 000 C2 suivis chaque jour. ...

🏛️ Contexte Le UK National Cyber Security Centre (NCSC) a publié le 7 avril 2026 une alerte détaillant les tactiques, techniques et procédures (TTPs) associées aux opérations de détournement DNS menées par APT28, acteur étatique russe identifié comme l’Unité militaire 26165 du GRU (85e Centre principal de service spécial, GTsSS). 🎯 Nature de l’attaque Depuis 2024 et jusqu’en 2026, APT28 exploite des routeurs SOHO vulnérables pour modifier les paramètres DHCP/DNS et rediriger le trafic vers des serveurs DNS malveillants contrôlés par l’acteur. Cette technique permet des attaques de type adversary-in-the-middle (AitM) visant à collecter : ...

🔍 Contexte Le 7 avril 2026, l’équipe Sansec Forensics a publié une analyse technique détaillant une campagne Magecart de masse ayant compromis 99 boutiques Magento en quelques heures. L’article, publié sur sansec.io, décrit un skimmer de carte bancaire sophistiqué exploitant une technique d’injection inédite via des éléments SVG. 🎯 Vecteur d’entrée et méthode d’injection Le vecteur d’entrée probable est la vulnérabilité PolyShell (upload de fichier non restreint dans Magento/Adobe Commerce), qui continue d’affecter les boutiques non protégées. L’attaquant injecte un élément SVG de 1x1 pixel dans le HTML de la boutique, dont le gestionnaire onload contient l’intégralité du payload skimmer encodé en base64 via atob() et exécuté via setTimeout. Cette technique évite toute référence à un script externe, contournant ainsi les scanners de sécurité classiques. ...

📋 Contexte : Le CERT-EU, service de cybersécurité des institutions, organes et agences de l’Union européenne, publie le 8 avril 2026 son rapport annuel sur le paysage des menaces cyber pour l’année 2025 (TLP:CLEAR). Ce rapport s’appuie sur l’analyse des activités malveillantes d’intérêt (MAI) collectées tout au long de 2025, avec une expansion significative de l’usage de l’automatisation et de l’IA dans les processus de surveillance. 🎯 Acteurs et origines : En 2025, 174 acteurs malveillants distincts ont été identifiés (contre 110 en 2024). Les activités liées à la Chine représentent 37% des MAI attribuées, suivies par la Russie (32%), la Corée du Nord (11%) et l’Iran (7%). Les acteurs liés à la Chine ont principalement exploité des vulnérabilités et des compromissions de chaîne d’approvisionnement. Les acteurs liés à la Russie ont ciblé prioritairement les entités soutenant l’Ukraine. ...

📰 Source : BleepingComputer — Date de publication : 8 avril 2026 La CISA (Cybersecurity and Infrastructure Security Agency) a ajouté la vulnérabilité CVE-2026-1340 au catalogue Known Exploited Vulnerabilities (KEV) et a émis une directive contraignant les agences FCEB (Federal Civilian Executive Branch) à sécuriser leurs systèmes Ivanti Endpoint Manager Mobile (EPMM) avant le 11 avril 2026 à minuit, conformément à la Binding Operational Directive (BOD) 22-01. 🔍 Détails de la vulnérabilité : ...

🔍 Contexte Publié le 8 avril 2026 par Jamf Threat Labs (auteur : Thijs Xhaflaire), cet article documente une nouvelle variante de la technique ClickFix ciblant macOS, découverte via des détections comportementales de la plateforme Jamf Protect. 🎯 Technique d’attaque Contrairement aux campagnes ClickFix classiques qui incitent l’utilisateur à coller des commandes dans Terminal, cette variante exploite le schéma URL applescript:// pour déclencher directement l’ouverture de Script Editor depuis le navigateur. ...