IOC

Selon le blog Google Cloud Threat Intelligence (Mandiant) dans un article publié le 30 septembre, un acteur financier baptisé UNC6040 mène des campagnes de vishing pour compromettre des instances Salesforce via des apps OAuth malveillantes, visant le vol massif de données et l’extorsion. Chaîne d’attaque décrite: (1) Usurpation du support IT pour pousser les employés à autoriser des apps connectées falsifiées, notamment des variantes du Salesforce Data Loader; (2) Exfiltration immédiate via Bulk API, pagination REST, ou export de rapports; (3) Mouvement latéral vers Okta/Microsoft 365. L’infrastructure observée inclut l’usage de Mullvad VPN. ...

Selon une analyse publiée par Varonis (blog), MatrixPDF est un toolkit de cybercriminalité qui convertit des fichiers PDF légitimes en vecteurs de phishing et de livraison de malware. • Ce kit permet d’embarquer du JavaScript malveillant, de créer de faux invites de documents sécurisés, de flouter le contenu et de rediriger les victimes vers des sites d’hébergement de charges utiles. Il mise sur la confiance accordée aux PDF et sur des surcouches de social engineering pour inciter à l’interaction. ...

Source: Silent Push — Dans une publication de recherche du 26 septembre 2025, l’équipe Threat Intelligence de Silent Push analyse l’usage abusif des fournisseurs de sous‑domaines (« Dynamic DNS ») et annonce des exports de données pour suivre plus de 70 000 domaines qui louent des sous‑domaines. • Portée et objectif: Silent Push a compilé des exports exclusifs permettant aux organisations de surveiller en temps réel les domaines louant des sous‑domaines, souvent exploités par des acteurs malveillants. L’objectif est d’aider à détecter, alerter, ou bloquer les connexions vers ces hôtes selon la tolérance au risque. Les exports et les flux IOFA (Indicators Of Future Attack) sont disponibles pour les clients Enterprise. ...

Selon Unit 42 (Palo Alto Networks), cette recherche détaille un nouvel acteur étatique chinois, « Phantom Taurus », menant des opérations d’espionnage sur le long terme contre des organisations gouvernementales et des télécoms en Afrique, au Moyen-Orient et en Asie. L’enquête (sur plus de deux ans et demi) décrit l’évolution du groupe : passage d’un vol de données centré sur l’email à un ciblage direct des bases de données. Les objectifs observés s’alignent avec des intérêts stratégiques de la RPC, notamment les communications diplomatiques, le renseignement de défense et des opérations gouvernementales critiques, avec une activité corrélée à d’importants événements géopolitiques. ...

Selon PIXM Security (Chris Cleveland), ce rapport couvre une montée marquée des campagnes de phishing mi-fin septembre, avec une vague notable hébergée sur l’infrastructure Backblaze, l’emploi de kits Attack-in-the-Middle (AiTM) pour voler les codes MFA et cookies de session, et une hausse des scarewares Microsoft et des leurres visant des comptes personnels (American Express, Netflix). Le 23 septembre, des pages hébergées sur des domaines Backblaze B2 ont été cliquées par 10 utilisateurs dans une demi-douzaine d’organisations au Kentucky et au Minnesota. Les identifiants étaient exfiltrés via l’API Bot de Telegram. Les leurres renvoyaient à des fichiers OneDrive et évoquaient des bons de commande (achats), ciblant probablement les équipes de procurement. ...

Check Point Research publie une analyse technique d’une campagne ClickFix menant à l’infection par PureHVNC RAT et l’usage ultérieur de Sliver, avec un lien direct vers des comptes GitHub opérés par le développeur de la famille de malwares « PureCoder ». Chaîne d’infection (8 jours) 🧪/🐀: Accès initial via ClickFix (fausses offres d’emploi) copiant automatiquement une commande PowerShell qui dépose un JavaScript malveillant et crée une persistance (LNK dans Startup, C2 journalier par rotation de domaines). Déploiement de PureHVNC RAT (C2 54.197.141[.]245) avec IDs de campagne « 2a » puis « amazon3 » via un Loader Rust packagé (Inno Setup), persistant par tâche planifiée. Jour 8 : livraison d’un implant Sliver C2 (hxxps://jq-scripts.global.ssl[.]fastly[.]net) exécutant un script PowerShell qui exfiltre des identifiants saisis par l’utilisateur dans un prompt (stockés sous %ProgramData%/__cred.txt). Analyse du Rust Loader (évasion/anti-analyses) 🛡️: ...

CISA (U.S. Cybersecurity and Infrastructure Security Agency) publie le 18 septembre 2025 un Malware Analysis Report TLP:CLEAR (AR25‑261A) sur des « listeners » malveillants déployés sur des serveurs Ivanti Endpoint Manager Mobile (EPMM) compromis via les vulnérabilités CVE‑2025‑4427 et CVE‑2025‑4428, corrigées par Ivanti le 13 mai 2025 et ajoutées au KEV le 19 mai 2025. — Contexte et portée Produits affectés : Ivanti EPMM versions 11.12.0.4 et antérieures, 12.3.0.1 et antérieures, 12.4.0.1 et antérieures, 12.5.0.0 et antérieures. Mode opératoire initial : exploitation en chaîne des failles via l’endpoint /mifs/rs/api/v2/ et le paramètre ?format= pour exécuter des commandes à distance, collecter des infos système, télécharger des fichiers, lister /, cartographier le réseau, créer un heapdump et extraire des identifiants LDAP. — Fonctionnement du malware 🐛 ...

Source: watchTowr Labs publie une analyse technique de CVE-2025-10035 affectant Fortra GoAnywhere MFT, basée sur l’avis FI-2025-012 (18 septembre) et un diff de correctif, avec un regard critique sur la sévérité CVSS 10 et des indices d’exploitation. • Contexte et produit concerné: Fortra GoAnywhere MFT, une solution d’EFT/MFT largement déployée (plus de 20 000 instances exposées). L’historique rappelle CVE-2023-0669 exploité par le groupe cl0p. L’avis FI-2025-012 décrit une désérialisation dans le License Response Servlet menant potentiellement à une exécution de commande et précise des éléments d’« Am I Impacted? » avec traces à rechercher. ...

Selon watchTowr Labs, une exploitation « in the wild » de CVE-2025-10035 visant Fortra GoAnywhere MFT est confirmée, en contradiction avec le récit du fournisseur. L’exploitation a débuté plusieurs jours avant l’avis public de l’éditeur. ⚠️ Le vecteur est une vulnérabilité de désérialisation pré-auth permettant une exécution de code à distance (RCE). Les attaquants ont ensuite mis en place des mécanismes de persistance et d’effacement de traces, illustrant une chaîne post-exploitation sophistiquée. Le billet souligne que les organisations doivent immédiatement évaluer un éventuel compromis et engager leurs protocoles d’intervention. ...

Source: The Raven File — enquête publiée fin septembre 2025 après quatre mois d’analyse sur le groupe de ransomware Gunra. Le billet centralise l’historique, l’infrastructure (DLS, négociations), l’analyse d’échantillons Windows/Linux, les TTP MITRE et des IOC. • Victimologie et ciblage: Gunra opère une double extorsion, affiche ses victimes sur un Data Leak Site (DLS) et a ajouté 18 victimes entre avril et septembre 2025. Les pays les plus touchés incluent Corée du Sud, Brésil, Japon, Canada, E.A.U., Égypte, Panama, ainsi que Colombie, Nicaragua, Croatie, Italie. À date, aucune victime américaine; seul pays anglophone ciblé: Canada. Secteurs: manufacturing, santé, technologie, services, finance. L’auteur avance des hypothèses sur l’absence de cibles US. ...