IOC

Selon VulnCheck, une exploitation active de la vulnérabilité XWiki CVE-2025-24893 a été capturée par leurs “Canaries”, révélant une chaîne d’attaque en deux étapes livrant un cryptomineur via injection de template. • Contexte et statut KEV: VulnCheck indique que la vulnérabilité n’est pas listée dans le CISA KEV, soulignant que l’exploitation réelle peut précéder la reconnaissance officielle. L’entrée a été ajoutée au VulnCheck KEV en mars 2025 après des signalements publics de Cyble, Shadow Server et CrowdSec, puis confirmée par des observations directes des Canaries. ...

Selon security.com, une campagne attribuée à des acteurs liés à la Russie (Sandworm/Seashell Blizzard, GRU) a visé des services d’entreprises et des entités gouvernementales en Ukraine pendant deux mois, avec pour objectifs l’exfiltration d’informations sensibles et l’accès persistant au réseau. L’attaque s’appuie sur le déploiement de webshells sur des serveurs exposés et non corrigés, dont le webshell Localolive associé à Sandworm. Les assaillants ont privilégié des tactiques de type Living-off-the-Land, limitant l’empreinte malveillante et démontrant une connaissance approfondie des outils natifs Windows. ...

Selon des chercheurs de Georgia Tech, Purdue University et van Schaik, LLC (papier de recherche « TEE.fail »), une nouvelle technique d’interposition sur le bus mémoire DDR5 permet de casser les garanties de confidentialité et d’intégrité de TEEs modernes (Intel SGX/TDX, AMD SEV‑SNP), y compris sur des machines en statut d’attestation « UpToDate ». Les auteurs construisent un interposeur DDR5 à budget hobbyiste (moins de 1 000 $) et démontrent que l’encryption mémoire déterministe (AES‑XTS) sur serveurs (sans Merkle tree ni protections anti‑rejeu) ré‑expose des attaques par observation de chiffrements répétables. Ils montrent comment contrôler l’exécution d’enclaves/TDs (canal contrôlé, thrashing cache, mappage physique via ADXL) et synchroniser la capture de transactions DRAM pour reconstruire des secrets. ...

Selon Trustwave SpiderLabs, une analyse des menaces 2024-2025 montre une intensification des attaques visant le secteur public américain. Le rapport recense plus de 117 entités gouvernementales US affectées par des ransomwares, une augmentation de 140% des attaques de callback phishing (TOAD), et des campagnes d’usurpation d’identité visant des autorités de transport et la Social Security Administration (SSA). Les vecteurs majeurs incluent l’exploitation de systèmes hérités, la compromission de comptes email gouvernementaux pour la diffusion de phishing, l’abus de plateformes légitimes (comme DocuSign et GovDelivery) et des activités d’États-nations. Le secteur public reste attractif du fait de bases de PII précieuses, d’un potentiel de perturbation opérationnelle, et de budgets cybersécurité limités. 🚨 ...

Selon Socket (socket.dev), l’équipe Threat Research a identifié 10 paquets npm typosquattés, publiés le 4 juillet 2025 et totalisant plus de 9 900 téléchargements en plus de quatre mois, qui orchestrent une opération de vol d’identifiants multi‑étapes. Les paquets imitent des bibliothèques populaires (TypeScript, discord.js, ethers.js, nodemon, react-router-dom, zustand) et ont été publiés par l’acteur « andrew_r1 ». Le vecteur d’exécution abuse du hook npm postinstall pour lancer un script install.js qui détecte l’OS et ouvre un nouveau terminal afin d’exécuter un payload obfusqué (app.js), masquant l’activité durant l’installation. Le code est protégé par quatre couches d’obfuscation: wrapper eval auto‑décodant, XOR à clé dynamique dérivée du code du déchiffreur, encodage URL et obfuscation du flot de contrôle (switch-case, bases mixtes hex/octal). ...

Source: Blaze’s Security Blog (Bart Blaze). Contexte: billet technique annonçant qu’Earth Estries, un acteur APT à nexus chinois, mène une nouvelle campagne exploitant une vulnérabilité récente de WinRAR menant à l’exécution de shellcode, avec publication d’indicateurs de compromission (IoC) et de règles YARA. L’acteur, aussi connu sous les noms Salt Typhoon et autres, est associé à l’usage d’implants tels que Snappybee (Deed RAT), ShadowPad, etc. Dans la campagne décrite, l’exploitation d’une faille WinRAR (CVE-2025-8088) conduit à l’exécution de shellcode. Le billet fournit les IoC et des règles YARA correspondantes. 🧩 IoC principaux (extraits tels que listés): ...

Selon Cisco Talos (blog Talos Intelligence), Qilin figure parmi les rançongiciels les plus actifs en 2025, avec plus de 40 victimes publiées par mois. L’analyse couvre ses secteurs ciblés, ses techniques d’intrusion et d’évasion, ainsi qu’une variante Qilin.B optimisée pour les environnements virtualisés. • Portée et cibles 🎯 Menace RaaS très prolifique en 2025 (40+ victimes/mois). Secteurs les plus touchés : manufacturing (23%), services professionnels (18%), commerce de gros (10%). Zones principalement affectées : États‑Unis, Canada, Royaume‑Uni, France, Allemagne. Modus operandi : double extorsion (chiffrement + exfiltration de données), avec déploiement de double encryptors pour maximiser l’impact sur réseaux et environnements virtualisés. • Chaîne d’intrusion et vol d’identifiants 🔐 ...

Selon l’extrait d’actualité fourni, des cas récents montrent l’abus de l’outil open source Cyberduck par des acteurs du ransomware Qilin pour l’exfiltration de données. Les attaquants tirent parti de services cloud légitimes pour l’exfiltration 📤, ce qui leur permet de camoufler leurs activités au sein de domaines de confiance et de trafic web légitime. Un artefact clé mentionné est le fichier d’historique Cyberduck, qui indique l’usage d’un hôte Backblaze comme destination ainsi que l’activation d’un paramètre personnalisé de téléversements fractionnés/multipart afin de transférer de gros fichiers ☁️. ...

Selon Unit 42 (Palo Alto Networks), des groupes menaçants détournent l’outil open source AzureHound afin d’énumérer des ressources Azure et de cartographier des chemins d’escalade de privilèges, en s’appuyant sur les APIs Microsoft Graph et Azure REST, sans présence préalable dans l’environnement victime. 🔎 Capacités et usage malveillant: AzureHound effectue la découverte via Microsoft Graph (graph.microsoft.com) et l’Azure REST API (management.azure.com) en utilisant des identifiants ou des jetons dérobés. Des acteurs comme Curious Serpens, Void Blizzard et Storm-0501 l’exploitent pour collecter des données sur les identités, les permissions, le stockage et l’infrastructure cloud. ...

Selon l’analyse référencée par Malasada Tech, « Convert Master » est un browser hijacker se faisant passer pour un outil de conversion de documents et distribué via des publicités Google malveillantes. Le malware récupère dynamiquement sa configuration depuis une infrastructure C2 (conf.conclie.com/ConMasD) afin de cibler des navigateurs spécifiques et d’injecter des URL de moteurs de recherche. Il modifie les paramètres du navigateur pour ajouter de faux moteurs, notamment Mapilor et Retro Revive, et met en place une chaîne de redirection: requête utilisateur → Mapilor (wesd.mapilor.com) → Retro Revive (searchretrorevive.com) → Yahoo Search, permettant un suivi des requêtes et une potentielle exfiltration de données. 🧭 ...