IOC

CloudSEK publie une analyse sur l’exploitation de la fête indienne de Raksha Bandhan par des cybercriminels, décrivant des campagnes de phishing, des fraudes UPI et des sites e‑commerce factices visant les acheteurs à l’occasion du festival. L’étude met en avant des campagnes de phishing et d’ingénierie sociale jouant sur l’urgence et les promotions de fête : offres de cadeaux frauduleuses, fausses notifications de livraison, et escroqueries UPI orchestrées via des invites « intent-based » sur mobile. ...

L’article publié par Infoblox explore l’histoire et les activités de VexTrio, un acteur clé dans le domaine de la cybercriminalité et de la distribution de trafic malveillant. Initialement impliqué dans le spam et les escroqueries, VexTrio s’est transformé en un réseau complexe d’entreprises liées à l’adtech. VexTrio est connu pour son système de distribution de trafic (TDS), qui est utilisé pour masquer des fraudes numériques telles que les scarewares, les escroqueries en cryptomonnaies et les faux VPN. En 2024, près de 40 % des sites web compromis redirigeaient vers le TDS de VexTrio, illustrant leur influence dans le paysage des menaces. ...

Picus Security a publié une analyse complète du groupe de ransomware Ryuk mettant en lumière leurs attaques ciblées contre des grandes organisations, notamment dans le secteur de la santé et les entités gouvernementales. L’analyse cartographie la chaîne d’attaque de Ryuk selon le cadre MITRE ATT&CK, couvrant des tactiques allant de l’accès initial par hameçonnage ciblé au mouvement latéral, l’escalade de privilèges, et l’impact final de chiffrement. Les principales découvertes incluent l’utilisation par Ryuk de techniques de chiffrement à double impact, la désactivation systématique des services de sauvegarde, et des méthodes d’évasion sophistiquées. La plateforme Picus Security Validation Platform est mise en avant pour sa capacité à simuler ces attaques afin de tester les défenses organisationnelles et identifier les failles de sécurité avant que les attaquants ne puissent les exploiter. ...

Cet article publié par Guardz analyse une méthodologie d’attaque ciblant SharePoint Online dans les environnements Microsoft 365. L’étude met en lumière comment les attaquants peuvent exploiter l’intégration étendue de SharePoint avec Graph API, Teams, OneDrive, et Power Platform pour obtenir un accès initial, maintenir une persistance, effectuer des mouvements latéraux, et exfiltrer des données. L’analyse technique détaille le cycle de vie complet de l’attaque, incluant des techniques de reconnaissance via Google dorking et l’énumération de Graph API, des méthodes d’accès initial par des malwares hébergés sur SharePoint et l’abus de jetons OAuth, des mécanismes de persistance via des flux Power Automate et des parties web cachées, ainsi que des mouvements latéraux à travers la collaboration sur des documents partagés. ...

Selon Unit 42, un acteur de menace, identifié comme Storm-2603, exploite des vulnérabilités SharePoint à travers un ensemble d’activités nommé CL-CRI-1040. Ce groupe utilise un outil de malware sophistiqué appelé Project AK47, démontrant une motivation financière. Le malware Project AK47 comprend plusieurs composants, notamment le cheval de Troie AK47C2 qui utilise les protocoles DNS et HTTP pour communiquer, ainsi que le rançongiciel AK47/X2ANYLOCK qui emploie le chiffrement AES/RSA et ajoute l’extension .x2anylock aux fichiers compromis. Le malware intègre des mécanismes de chargement de DLL et utilise une clé XOR codée en dur ‘VHBD@H’. ...

Cet article publié par Semperis décrit un scénario d’attaque surnommé EntraGoat, illustrant comment des attaquants peuvent exploiter des certificats compromis et des permissions d’application excessives pour obtenir des privilèges d’administrateur global dans Microsoft Entra ID. L’attaque commence par un certificat divulgué associé à un service principal disposant des permissions AppRoleAssignment.ReadWrite.All. Ce certificat est ensuite utilisé pour s’auto-attribuer les permissions RoleManagement.ReadWrite.Directory, permettant ainsi une escalade de privilèges jusqu’aux droits d’administrateur global. ...

SpyCloud a analysé un jeu de données recirculé provenant d’une fuite de données de la base de données de la police nationale de Shanghai, qui contient plus de 104 millions de numéros d’identification nationaux chinois uniques. Cette fuite affecte environ 7,4 % de la population chinoise et met en lumière comment ces numéros, qui contiennent des informations intégrées telles que le lieu de naissance, la date de naissance et le sexe, peuvent être exploités par des acteurs malveillants pour des attaques de social engineering et des fraudes à l’identité. ...

Cet article de cybersecurity-blog met en lumière une nouvelle menace cybernétique orchestrée par le groupe parrainé par l’État nord-coréen, Famous Chollima, une sous-division du groupe Lazarus. PyLangGhost RAT, une évolution en Python de GoLangGhostRAT, est déployé via des campagnes de social engineering sophistiquées, notamment des faux entretiens d’embauche et des scénarios ‘ClickFix’. Ce malware cible spécifiquement les secteurs de la technologie, de la finance et des cryptomonnaies. Le RAT est conçu pour voler des données de portefeuille de cryptomonnaie et des identifiants de navigateur, tout en établissant un accès à distance persistant. Bien que les taux de détection soient faibles (0-3 sur VirusTotal), des outils d’analyse comportementale peuvent identifier la menace grâce à ses schémas de communication et ses chaînes d’exécution. ...

L’article de Unit42 de Palo Alto Networks met en lumière une technique d’élévation de privilèges critique nommée BadSuccessor, ciblant les environnements Windows Server 2025. Cette technique exploite les comptes de service gérés délégués (dMSA) pour compromettre les domaines Active Directory. Les attaquants peuvent manipuler les attributs des dMSA pour se faire passer pour n’importe quel utilisateur de domaine, y compris les administrateurs de domaine, en créant des objets dMSA malveillants et en modifiant des attributs spécifiques pour simuler des migrations de comptes terminées. Cette vulnérabilité non corrigée nécessite uniquement des permissions standard d’utilisateur de domaine avec des droits d’accès spécifiques aux unités organisationnelles, ce qui la rend particulièrement dangereuse. ...

L’article provient de The DFIR Report et décrit une campagne sophistiquée exploitant le SEO poisoning pour distribuer des outils de gestion IT trojanisés, permettant l’installation du malware Bumblebee et du ransomware Akira. L’attaque commence par des résultats de recherche Bing empoisonnés qui redirigent vers des sites malveillants hébergeant des installateurs MSI trojanisés. Ces fichiers MSI déploient le malware Bumblebee via msimg32.dll en utilisant consent.exe, établissant des communications C2 avec des domaines DGA. ...