IOC

🔍 Contexte Publié le 24 mars 2026 par les chercheurs Mark Tsipershtein et Evgeny Ananin (LevelBlue/SpiderLabs), cet article présente une analyse technique approfondie de MioLab (alias Nova), une plateforme Malware-as-a-Service (MaaS) ciblant exclusivement macOS, activement promue sur des forums russophones. 🎯 Présentation de la menace MioLab est un infostealer macOS commercialisé avec un panel web, une API complète et un builder visuel. Il supporte les architectures Intel x86-64 et Apple Silicon ARM64, de macOS Sierra à Tahoe. Le payload est écrit en C, pèse environ 100 KB et emploie une obfuscation XOR dynamique à l’exécution. ...

🔔 Contexte Oracle a publié le 19 mars 2026 (révisé le 20 mars 2026) une alerte de sécurité officielle sur son portail Security Alerts, adressant la vulnérabilité CVE-2026-21992 affectant des composants de la suite Oracle Fusion Middleware. 🎯 Vulnérabilité concernée CVE : CVE-2026-21992 Score CVSS v3.1 : 9.8 (Critique) Vecteur d’attaque : Réseau, sans authentification requise Complexité : Faible Impact : Confidentialité, Intégrité et Disponibilité — tous High Protocole : HTTP (et HTTPS par extension) Scope : Unchanged 🛠️ Produits affectés Oracle Identity Manager — Composant : REST Web Services Oracle Web Services Manager — Composant : Web Services Security Les deux produits sont couverts par la même CVE et présentent le même score de risque. ...

🌐 Contexte Cet article est publié le 24 mars 2026 par CrowdStrike sur son blog officiel. Il analyse l’impact de l’opération de démantèlement de Tycoon2FA, une plateforme Phishing-as-a-Service (PhaaS) par abonnement, annoncée par Europol le 4 mars 2026. 🎯 Description de la menace Tycoon2FA est opérationnelle depuis 2023. Elle fournit un kit de phishing basé sur des techniques adversary-in-the-middle (AITM) permettant de contourner l’authentification multifacteur (MFA). En mi-2025, elle était responsable de 62% de toutes les tentatives de phishing bloquées par Microsoft et aurait généré plus de 30 millions d’emails malveillants en un seul mois. ...

🔍 Contexte Publié le 24 mars 2026 par Acronis Threat Research Unit (TRU), cet article présente une analyse technique approfondie de campagnes de distribution du malware Vidar Stealer 2.0 via de faux outils de triche pour jeux vidéo, hébergés principalement sur GitHub et promus sur Reddit. 🎯 Vecteur d’infection et ciblage Les attaquants exploitent les communautés de joueurs cherchant des cheats gratuits (aimbots, wallhacks, etc.) sur Discord, Reddit et GitHub. Les victimes sont incitées à : ...

🔍 Contexte Publié le 24 mars 2026 par Gen Threat Labs (GenDigital), cet article présente une analyse technique approfondie de VoidStealer, un infostealer de type MaaS (Malware-as-a-Service) commercialisé depuis mi-décembre 2025 sur des forums darkweb, notamment HackForums. 🦠 Présentation de VoidStealer VoidStealer est un infostealer MaaS dont le développement actif a produit 12 versions entre le 12 décembre 2025 et le 18 mars 2026. La version v2.0 (13 mars 2026) a introduit la technique novatrice de bypass ABE analysée dans cet article. Il cible Chrome et Edge (navigateurs basés sur Chromium). ...

🔍 Contexte Publié le 23 mars 2026 par CrowdSec, cet article rapporte la confirmation par la plateforme de l’exploitation active de CVE-2026-1207, une vulnérabilité d’injection SQL affectant le framework web Python Django, spécifiquement dans les configurations utilisant GeoDjango avec le backend PostGIS. La vulnérabilité a été publiée le 3 février 2026 et n’est pas encore référencée dans le catalogue KEV de la CISA. 🐛 Détails techniques de la vulnérabilité Composant affecté : Module GIS de Django — RasterField lookups avec le backend PostGIS Mécanisme : Mauvaise gestion du paramètre band index, permettant l’injection de commandes SQL malveillantes Endpoints ciblés : /?band= et /api/raster/search/?band= Impact potentiel : Contournement d’authentification, accès à des données sensibles, modification du contenu de la base de données Découverte originale : Créditée à Tarek Nakkouch 📅 Chronologie 3 février 2026 : Publication de CVE-2026-1207 18 février 2026 : CrowdSec publie une règle de détection 26 février 2026 : Premières attaques observées par CrowdSec 23 mars 2026 : Confirmation publique de l’exploitation active 📊 Analyse du paysage de menace Les attaques observées présentent un volume stable semaine après semaine, sans pics volumétriques massifs. Le pattern indique une reconnaissance ciblée visant à identifier les configurations Django/PostGIS vulnérables, plutôt qu’un spray indiscriminé. Ce type de comportement est souvent un précurseur de campagnes plus dommageables et ciblées. ...

🗓️ Contexte Selon un rapport publié par Seqrite Labs et relayé par Security Affairs le 19 mars 2026, un groupe APT lié à la Russie — attribué avec une confiance modérée à APT28 (alias Fancy Bear, Sednit, STRONTIUM, UAC-0001) — mène une campagne d’espionnage ciblant des entités gouvernementales ukrainiennes via une vulnérabilité dans Zimbra Collaboration. 🎯 Campagne : Operation GhostMail La campagne, baptisée Operation GhostMail, exploite la vulnérabilité CVE-2025-66376 (CVSS 7.2), un stored XSS dans l’interface Classic UI de Zimbra, causé par une sanitisation insuffisante des directives CSS @import dans le contenu HTML des emails. ...

🔍 Contexte Article publié le 22 mars 2026 sur Ars Technica, rédigé par Dan Goodin. L’incident a débuté dans les premières heures du jeudi 20 mars 2026 et a été confirmé par Itay Shakury, mainteneur de Trivy, scanner de vulnérabilités open source d’Aqua Security comptant 33 200 étoiles sur GitHub. 💥 Nature de l’attaque Les attaquants, se désignant sous le nom Team PCP, ont exploité des credentials volés (issus d’une compromission antérieure du mois précédent sur l’extension VS Code de Trivy) pour effectuer des force-push Git sur les tags existants du dépôt aquasecurity/trivy-action. Cette technique contourne les mécanismes de protection habituels et n’apparaît pas dans l’historique des commits, évitant ainsi les notifications et les défenses classiques. ...

🔍 Contexte Le 11 mars 2026, l’équipe DREAM Security Research Team a divulgué une vulnérabilité critique sur la liste de diffusion officielle bug-inetutils de GNU. La divulgation concerne GNU Inetutils telnetd, le serveur Telnet du projet GNU. 🐛 Vulnérabilité Un buffer overflow pré-authentification a été identifié dans le gestionnaire de sous-option LINEMODE SLC (Set Local Characters) de telnetd. La faille se situe dans le fichier telnetd/slc.c, affectant les fonctions add_slc(), process_slc() et do_opt_slc(), ainsi que le buffer slcbuf (ligne 59). ...

🔍 Contexte Publié le 19 mars 2026 par SecureLayer7 (Sandeep Kamble, outil Bugdazz / modèle Rabit0), cet article présente la découverte et l’analyse technique de CVE-2026-22730, une vulnérabilité d’injection SQL de sévérité haute (CVSS 8.8) affectant le composant MariaDB vector store de Spring AI. La découverte a été faite lors d’un audit de pré-production pour une entreprise de services financiers déployant un assistant IA interne basé sur une architecture RAG. ...