IOC

🗓️ Contexte Source : Infosecurity Magazine, article de Phil Muncaster publié le 20 mars 2026, basé sur un blog post de Sysdig. L’article couvre l’exploitation rapide d’une vulnérabilité critique dans le framework open source Langflow. 🔍 Vulnérabilité concernée CVE-2026-33017 : vulnérabilité d’exécution de code à distance (RCE) non authentifiée dans Langflow, un framework visuel open source pour la création d’agents IA et de pipelines RAG Score CVSS : 9.3 Exploitation possible via une seule requête HTTP, sans aucune authentification requise Permet l’exécution de code Python arbitraire sur les instances Langflow exposées ⚡ Timeline d’exploitation 17 mars 2026 : publication de l’advisory CVE ~20 heures après : premières activités malveillantes observées sur les honeypots de Sysdig Aucun proof-of-concept (PoC) public n’existait au moment de l’exploitation 🎯 Activités malveillantes observées Scan automatisé de l’infrastructure depuis 4 adresses IP sources envoyant le même payload (probablement un seul attaquant) Déploiement de scripts Python d’exploitation personnalisés via un dropper de stage 2, indiquant un toolkit d’exploitation préparé Collecte de credentials : clés de bases de données, clés API, credentials cloud, fichiers de configuration Risque de compromission de la chaîne d’approvisionnement logicielle via les accès obtenus 📊 Tendances de compression des délais d’exploitation Selon l’initiative Zero Day Clock citée par Sysdig : le temps médian d’exploitation (TTE) est passé de 771 jours en 2018 à quelques heures en 2024 En 2023, 44% des vulnérabilités exploitées ont été weaponisées dans les 24 heures suivant la divulgation 80% des exploits publics apparaissent avant la publication de l’advisory officiel Selon Rapid7 : le délai médian entre publication d’une vulnérabilité et son inclusion dans le catalogue KEV de la CISA est passé de 8,5 jours à 5 jours en un an Délai médian de déploiement de patches par les organisations : ~20 jours 📰 Nature de l’article Article de presse spécialisée relayant une publication de recherche de Sysdig, visant à documenter la rapidité d’exploitation d’une vulnérabilité critique et illustrer la compression des délais d’exploitation dans le paysage des menaces actuel. ...

🔍 Contexte Publié le 19 mars 2026 par Security Affairs, cet article relaie un rapport de Lookout Threat Labs, en collaboration avec iVerify et Google GTIG, portant sur la découverte d’un nouveau kit d’exploitation iOS baptisé DarkSword, actif depuis fin 2025. 🛠️ Description du toolkit DarkSword est un kit d’exploitation iOS permettant une compromission complète de l’appareil via une chaîne de six vulnérabilités, dont trois zero-days : CVE-2025-31277 – Corruption mémoire JavaScriptCore (CVSS 8.8) CVE-2026-20700 – Contournement PAC via dyld (CVSS 8.6) (zero-day) CVE-2025-43529 – Corruption mémoire JavaScriptCore (CVSS 8.8) (zero-day) CVE-2025-14174 – Corruption mémoire ANGLE (CVSS 8.8) (zero-day) CVE-2025-43510 – Problème mémoire noyau iOS (CVSS 8.6) CVE-2025-43520 – Corruption mémoire noyau iOS (CVSS 8.6) Le kit cible les iPhones sous iOS 18.4 à 18.7 et nécessite une interaction utilisateur minimale (near zero-click). ...

🕵️ Contexte Publié le 22 mars 2026 sur le blog de Marc-Frédéric Gomez, ce document est une fiche de renseignement CTI (TLP:CLEAR) mise à jour sur le groupe APT iranien MERCURY/MuddyWater (alias Mango Sandstorm, Seedworm, Static Kitten, TA450, Boggy Serpens, Earth Vetala, TEMP.Zagros, G0069). Il constitue une synthèse analytique structurée à destination des équipes CTI. 🏴 Attribution & Sponsor Le groupe est subordonné au MOIS (Ministry of Intelligence and Security iranien), attribution formalisée dans un avis conjoint FBI/CISA/CNMF/NCSC-UK du 24 février 2022. Un lien opérationnel avec Storm-1084 (DarkBit) est documenté par Microsoft. Le groupe partage la même tutelle institutionnelle qu’APT39 mais constitue un cluster distinct. ...

🛠️ Contexte Publié le 22 mars 2026 sur GitHub (compte 0xROOTPLS), Fritter est présenté comme un outil offensif open-source, fork lourdement modifié du projet Donut de TheWover et Odzhan. 🔍 Description technique Fritter est un générateur de shellcode position-independent (PIC) conçu pour l’exécution en mémoire de plusieurs types de charges utiles : VBScript, JScript Exécutables (EXE), DLL Assemblages .NET L’outil se distingue de Donut par une refonte complète des couches internes : ...

🔍 Contexte Publié le 20 mars 2026 par Jamf Threat Labs (Thijs Xhaflaire), cet article détaille l’extension de la campagne GhostClaw/GhostLoader, initialement documentée par JFrog Security Research début mars 2026. Jamf a identifié au moins huit nouveaux échantillons et des vecteurs d’infection inédits via des dépôts GitHub malveillants. 🎯 Vecteurs d’infection Deux méthodes de distribution parallèles ont été observées : Dépôts GitHub malveillants : impersonnent des outils légitimes (trading bots, SDKs, utilitaires développeurs). Certains dépôts affichent plusieurs centaines d’étoiles (ex. TradingView-Claw : 386 étoiles). Les dépôts sont d’abord peuplés de code bénin avant introduction de composants malveillants. Workflows IA (OpenClaw) : des fichiers SKILL.md ciblent les agents de développement IA qui installent automatiquement des “skills” depuis GitHub. Le comportement malveillant est déclenché lors de la phase d’installation (install.sh). ⚙️ Chaîne d’exécution multi-étapes Bootstrap (install.sh) : récupère et exécute le script initial, installe Node.js dans un répertoire utilisateur (sans privilèges élevés), utilise curl -k (TLS désactivé). Vol de credentials (setup.js) : script JavaScript fortement obfusqué. Affiche de faux indicateurs de progression, présente une fausse invite de mot de passe en terminal, valide les credentials via dscl . -authonly. Utilise AppleScript pour des dialogues natifs imitant des prompts macOS. Demande l’accès Full Disk Access (FDA). Récupération du payload secondaire : contacte le C2 trackpipe[.]dev avec un UUID unique par dépôt, reçoit un payload chiffré, le déchiffre et l’écrit dans /tmp/sys-opt-{random}.js, puis l’exécute en processus détaché. Persistance : le payload secondaire (GhostLoader) se relocalise dans ~/.cache/.npm_telemetry/monitor.js. Anti-forensics (postinstall.js) : efface le terminal, installe le package npm antigravity (package légitime ancien, utilisé comme leurre), affiche des messages de succès factices. 🌐 Infrastructure C2 Domaine unique partagé : trackpipe.dev Identifiants UUID distincts par dépôt pour segmenter l’activité Variable d’environnement NODE_CHANNEL transmise au payload secondaire 🔗 Campagnes connexes L’article mentionne des campagnes similaires récentes : Glassworm et PolinRider, utilisant des techniques analogues de supply chain logicielle. ...

🔍 Contexte Publié le 22 mars 2026 par la Threat Hunter Team de Symantec et Carbon Black (Broadcom), cet article présente une analyse technique détaillée d’un nouveau malware nommé Infostealer.Speagle, attribué à un acteur inconnu désigné Runningcrab. 🎯 Nature de la menace Speagle est un infostealer 32 bits écrit en .NET qui cible exclusivement les machines sur lesquelles le logiciel légitime Cobra DocGuard (développé par la société chinoise EsafeNet) est installé. Il détourne l’infrastructure de ce logiciel pour masquer ses communications malveillantes en les faisant passer pour des échanges légitimes client-serveur. ...

🔍 Contexte Publié le 22 mars 2026 sur GitHub par l’utilisateur andreisss, cet article présente KslDump, un outil de recherche en sécurité offensif exploitant un driver kernel Microsoft Defender (KslD.sys) pour extraire des credentials depuis LSASS protégé par PPL (Protected Process Light), sans recourir à aucun code ou driver tiers. ⚙️ Mécanisme de la vulnérabilité Le driver KslD.sys est livré avec Microsoft Defender, signé Microsoft, et expose un objet device \\.\KslD accessible depuis l’espace utilisateur. Il accepte l’IOCTL 0x222044 avec plusieurs sous-commandes critiques : ...

🏉 Contexte Le 17 mars 2026, la Fédération Française de Rugby (FFR) a publié un communiqué officiel sur son site pour informer ses licenciés d’un incident de sécurité informatique détecté en amont de cette date. 🎣 Nature de l’attaque Les investigations techniques menées par la FFR indiquent que l’incident résulte d’une campagne de phishing (usurpation d’identité numérique) ciblant les populations licenciées de la fédération. Il est explicitement précisé qu’il ne s’agit pas d’une intrusion directe dans les bases de données centrales, lesquelles ne sont pas compromises. ...

📅 Source : Microsoft Sentinel Blog (techcommunity.microsoft.com), publié le 20 mars 2026 par Tomas Beerthuis (Microsoft). Contexte Microsoft annonce la préversion publique (Public Preview) de l’Unified Role Based Access Control (URBAC) pour Microsoft Sentinel, avec une disponibilité prévue au 1er avril 2026. Cette fonctionnalité étend le modèle RBAC unifié de Microsoft Defender à Sentinel et introduit un contrôle d’accès au niveau des lignes (row-level access). Nouvelles fonctionnalités URBAC pour Sentinel 🔐 Gestion des permissions Sentinel directement depuis le portail Microsoft Defender (https://security.microsoft.com) Modèle de permissions unifié pour Sentinel et les autres workloads Defender Migration facile des rôles Azure Sentinel existants via import automatique Prise en charge des workspaces Sentinel Analytics et Lake Sentinel Scoping (contrôle au niveau des lignes) Création et assignation de scope tags aux utilisateurs ou groupes Marquage des données via des règles KQL dans Table Management (utilisant des Data Collection Rules) Accès restreint aux alertes, incidents et requêtes de chasse avancée selon le scope Le champ SentinelScope_CF permet de référencer le scope dans les règles de détection ⚠️ Les données historiques (déjà ingérées) ne sont pas rétroactivement taguées Correspondance des rôles Rôle Sentinel Permissions URBAC Reader Security data basic (read) Responder + Alerts (manage), Response (manage) Contributor + Detection tuning (manage) Prérequis Accès au portail Microsoft Defender Rôle Global Administrator + propriétaire d’abonnement OU User Access Administrator + Sentinel Contributor Workspaces Sentinel onboardés dans le portail Defender Permission Security Authorization (Manage) et Data Operations (Manage) pour la gestion des scopes Limitations notables Les tables XDR ne sont pas encore scopables Le scoping des données Defender ingérées dans Sentinel ne propage pas les scopes d’origine (Device Groups, Cloud Scopes) Le scoping des ressources (règles de détection, playbooks, automation rules) est prévu dans les prochains mois 📌 Type d’article : Annonce de mise à jour produit. But principal : informer les administrateurs de sécurité de la disponibilité d’une nouvelle fonctionnalité de gestion des accès dans Microsoft Sentinel. ...

🔍 Contexte Article publié le 14 mars 2026 par Richard Fan sur son blog personnel. Il s’agit d’une recherche offensive menée contre AWS Security Agent, un agent IA autonome conçu pour effectuer des tests de pénétration sur des applications web. Le chercheur a identifié 4 vulnérabilités (une cinquième étant encore en cours de correction). 🌐 Vulnérabilité 1 : DNS Confusion Une faille dans la vérification de domaine lors des pentests sur réseaux privés (VPC) permet à un attaquant de : ...