IOC

🔍 Contexte Publié le 3 avril 2026 par Ctrl-Alt-Intel (ctrlaltintel.com), cet article de recherche détaille une attaque supply-chain contre l’écosystème WordPress BuddyBoss / Caseproof, découverte indépendamment le 18 mars 2026 par le chercheur @ice_wzl_cyber. L’attaque avait été signalée publiquement pour la première fois par Cybernews le 24 mars 2026. 🎯 Vecteur d’attaque et déroulement L’acteur malveillant, identifié comme francophone, a utilisé Claude Code (Anthropic) comme outil d’assistance tout au long de la chaîne d’attaque : ...

🔍 Contexte Publié le 2 avril 2026 par Censys (auteur : Andrew Northern, Principal Security Researcher), cet article présente une découverte CTI issue d’une méthodologie de chasse technique basée sur l’analyse des corps de réponses HTTP à l’échelle d’Internet. La recherche a permis de surface une campagne ClickFix active livrant XWorm V5.6 via le loader MaaS PhantomVAI. 🎯 Vecteur d’entrée et infrastructure compromise Le point d’entrée est le site d’une entreprise turque de matériel médical, orcanmedikal[.]com[.]tr, dont tous les sous-domaines (naked domain, www, mail) servent une page identique de 1 655 octets intitulée “AntiFraud Authenticator”. Cette page ClickFix invite la victime à cliquer sur un bouton COPY, ce qui copie silencieusement une commande PowerShell encodée dans le presse-papiers via navigator.clipboard.writeText(). ...

🎯 Contexte Article publié le 30 mars 2026 par Sublime Security (Brandon Murphy), dans le cadre de leur série « Attack Spotlight ». Il décrit une campagne de phishing de credentials en cours, usurpant l’identité de Google Careers, détectée sur les environnements Google Workspace et Microsoft 365. 📧 Mécanisme d’attaque La campagne débute par un email imitant un recruteur Google Careers proposant un entretien. Le flux d’attaque est le suivant : ...

🔍 Contexte Publié le 30 avril 2026 par Austin Coontz (TrustedSec), cet article de recherche offensive présente trois chaînes d’attaque exploitant la permission WriteGPLink sur des Unités Organisationnelles (OU) Active Directory, combinée à l’ARP spoofing, pour détourner des chemins UNC référencés dans des GPO existants. ⚙️ Attaque 1 : WriteGPLink + MSI Deployment Spoofing La première chaîne suppose qu’un attaquant authentifié dispose de WriteGPLink sur une OU cible et d’un accès réseau de couche 2 (même segment broadcast). Les étapes sont : ...

🗓️ Contexte Article publié le 30 mars 2026 par Sublime Threat Intelligence & Research, dans le cadre de leur série « Attack Spotlight ». L’article décrit une campagne de phishing par email détectée via Google Workspace, exploitant l’usurpation de la marque Zoom. 🎯 Déroulement de l’attaque L’attaque débute par un email d’invitation Zoom falsifié, dont le style suggère une génération par IA. Le bouton « Start Meeting » redirige vers le domaine malveillant zoom-meeting.yourco-invite[.]live au lieu des domaines officiels Zoom. ...

🔍 Contexte Publié le 3 avril 2026 sur le blog de BZHunt (https://www.bzhunt.fr/blog/cve_glpi/), cet article présente l’anatomie complète d’une chaîne d’exploitation 0-day découverte en février 2026 dans GLPI, l’outil ITSM open source largement déployé en Europe pour la gestion de parcs informatiques, tickets et inventaires d’actifs. 🐛 Vulnérabilités identifiées Trois CVE ont été assignés, dont deux forment la chaîne critique : CVE-2026-26027 (CVSS 7.5 – High) : Blind Stored XSS non authentifiée via l’endpoint /Inventory. Les champs deviceid, tag et useragent sont stockés sans assainissement HTML dans Agent::handleAgent() et rendus via le filtre Twig |raw, désactivant l’auto-échappement. Périmètre : GLPI 10.0.0–11.0.5. CVE-2026-26026 (CVSS 9.1 – Critical) : SSTI → RCE via double compilation Twig dans QuestionTypeDropdown.php. Le template Twig est reconstruit en concaténant du HTML déjà rendu avec un template non rendu, puis resoumis à renderFromStringTemplate(). La fonction call() (alias de call_user_func_array()) exposée par PhpExtension et les superglobales $_GET/$_POST accessibles comme variables Twig permettent l’exécution de commandes OS. Périmètre : GLPI 11.0.0–11.0.5. CVE-2026-26263 (CVSS 8.1 – High) : SQL Injection non authentifiée dans le moteur de recherche. Indépendante de la chaîne, fera l’objet d’un article séparé. ⛓️ Chaîne d’exploitation complète Injection XSS : envoi d’une requête POST non authentifiée vers /Inventory avec un payload JavaScript dans le champ tag Account Takeover : lorsqu’un administrateur consulte Administration → Agents, le payload s’exécute dans sa session, contourne la protection CSRF en récupérant dynamiquement le token, et crée silencieusement un compte super-administrateur SSTI → RCE : avec le compte créé, l’attaquant injecte {{ call(_get.fn, [_get.a]) }} dans une valeur d’option dropdown, puis déclenche l’exécution via /ajax/common.tabs.php?fn=shell_exec&a=id 💥 Impact Exécution de commandes OS arbitraires sous l’identité du serveur web (www-data) Exfiltration de credentials BDD, fichiers de configuration, données utilisateurs Pivot réseau depuis le serveur GLPI compromis Persistance (web shells, tâches cron, clés SSH, comptes backdoor) Risque supply chain sur l’ensemble du parc IT managé 🛠️ Fichiers clés affectés src/Glpi/Inventory/Conf.php (l.1309) : auth_required = 'none' par défaut src/Agent.php (l.420–434) : stockage sans sanitisation templates/components/form/fields_macros.html.twig (l.787) : filtre |raw src/Glpi/Form/QuestionType/QuestionTypeDropdown.php (l.205) : double compilation src/Glpi/Application/View/Extension/PhpExtension.php (l.90–106) : call() = call_user_func_array() src/Glpi/Application/View/TemplateRenderer.php (l.127–129) : exposition des superglobales 📅 Timeline de divulgation Février 2026 : découverte et signalement à l’équipe GLPI 3 mars 2026 : publication du patch (GLPI 11.0.6) Mars/Avril 2026 : publication de l’article 📄 Nature de l’article Il s’agit d’une analyse technique approfondie (vulnerability research / full disclosure) publiée par BZHunt après patch, incluant des preuves de concept, des extraits de code source, des payloads d’exploitation et une preuve de RCE confirmée sur GLPI 11.0.5. ...

🔍 Contexte Le 13 mars 2026, une pull request (#221) a été fusionnée dans le dépôt public LOLDrivers (magicsword-io), un projet de référencement de drivers légitimes mais vulnérables exploitables dans des attaques BYOVD (Bring Your Own Vulnerable Driver). La contribution a été initiée par le chercheur mnznndr97 le 28 mars 2025 et approuvée après plusieurs mois de revue. 🧩 Contenu de la contribution Trois nouveaux drivers vulnérables ont été documentés et ajoutés au référentiel : ...

📰 Source : lina.sh/blog/ddos-honeypot — Publication du 04/05/2026. Article d’analyse technique rédigé par un chercheur indépendant ayant investigué l’infrastructure d’Operation PowerOFF. Contexte : Operation PowerOFF Operation PowerOFF est une opération internationale coordonnée visant à démanteler les services DDoS-for-hire (booters). Elle implique le FBI, la UK National Crime Agency (NCA), Europol, et est principalement pilotée par la police néerlandaise (Politie). L’opération a conduit à la saisie d’environ une centaine de domaines et à plusieurs arrestations. ...

🎯 Contexte Publié le 24 mars 2026 par Halcyon et Beazley Security, ce rapport conjoint analyse une intrusion ransomware attribuée à Pay2Key, groupe lié au gouvernement iranien actif depuis 2020, ayant ciblé une organisation de santé américaine en février 2026. 🕵️ Attribution et contexte géopolitique Pay2Key est suivi sous plusieurs alias : Fox Kitten, Pioneer Kitten, UNC757, Parasite, RUBIDIUM, Lemon Sandstorm. En août 2024, le FBI, la CISA et le DoD Cyber Crime Center ont officiellement attribué ce groupe à l’Iran. L’activité du groupe s’intensifie systématiquement lors de tensions géopolitiques impliquant l’Iran. En fin 2025, le groupe a tenté de vendre son infrastructure RaaS (pour 0,15 BTC) sur des forums underground et sur X/Twitter, sans résolution claire. ...

🔍 Contexte Article de recherche publié le 02 mai 2026 sur le blog personnel d’Aaron Haymore (zonifer.dev). L’auteur présente une analyse technique complète du pilote noyau gdrv3.sys livré avec Gigabyte APP Center, dans le cadre d’une étude sur les attaques BYOVD (Bring Your Own Vulnerable Driver). 🎯 Objet de l’analyse Le pilote gdrv3.sys (MD5 : 2791bbd810b9bc086bb1631e0f16c821) est un pilote WDF signé par Microsoft, déposé dans C:\Windows\System32\drivers lors de l’installation de Gigabyte APP Center. L’analyse de sa table d’imports dans Ghidra révèle des fonctions dangereuses : MmMapIoSpace, MmGetPhysicalAddress, MmAllocateContiguousMemory, MmMapLockedPagesSpecifyCache, RDMSR/WRMSR. ...