IOC

🔍 Contexte Publié le 22 mars 2026 par la Threat Hunter Team de Symantec et Carbon Black (Broadcom), cet article présente une analyse technique détaillée d’un nouveau malware nommé Infostealer.Speagle, attribué à un acteur inconnu désigné Runningcrab. 🎯 Nature de la menace Speagle est un infostealer 32 bits écrit en .NET qui cible exclusivement les machines sur lesquelles le logiciel légitime Cobra DocGuard (développé par la société chinoise EsafeNet) est installé. Il détourne l’infrastructure de ce logiciel pour masquer ses communications malveillantes en les faisant passer pour des échanges légitimes client-serveur. ...

🔍 Contexte Publié le 22 mars 2026 sur GitHub par l’utilisateur andreisss, cet article présente KslDump, un outil de recherche en sécurité offensif exploitant un driver kernel Microsoft Defender (KslD.sys) pour extraire des credentials depuis LSASS protégé par PPL (Protected Process Light), sans recourir à aucun code ou driver tiers. ⚙️ Mécanisme de la vulnérabilité Le driver KslD.sys est livré avec Microsoft Defender, signé Microsoft, et expose un objet device \\.\KslD accessible depuis l’espace utilisateur. Il accepte l’IOCTL 0x222044 avec plusieurs sous-commandes critiques : ...

🏉 Contexte Le 17 mars 2026, la Fédération Française de Rugby (FFR) a publié un communiqué officiel sur son site pour informer ses licenciés d’un incident de sécurité informatique détecté en amont de cette date. 🎣 Nature de l’attaque Les investigations techniques menées par la FFR indiquent que l’incident résulte d’une campagne de phishing (usurpation d’identité numérique) ciblant les populations licenciées de la fédération. Il est explicitement précisé qu’il ne s’agit pas d’une intrusion directe dans les bases de données centrales, lesquelles ne sont pas compromises. ...

📅 Source : Microsoft Sentinel Blog (techcommunity.microsoft.com), publié le 20 mars 2026 par Tomas Beerthuis (Microsoft). Contexte Microsoft annonce la préversion publique (Public Preview) de l’Unified Role Based Access Control (URBAC) pour Microsoft Sentinel, avec une disponibilité prévue au 1er avril 2026. Cette fonctionnalité étend le modèle RBAC unifié de Microsoft Defender à Sentinel et introduit un contrôle d’accès au niveau des lignes (row-level access). Nouvelles fonctionnalités URBAC pour Sentinel 🔐 Gestion des permissions Sentinel directement depuis le portail Microsoft Defender (https://security.microsoft.com) Modèle de permissions unifié pour Sentinel et les autres workloads Defender Migration facile des rôles Azure Sentinel existants via import automatique Prise en charge des workspaces Sentinel Analytics et Lake Sentinel Scoping (contrôle au niveau des lignes) Création et assignation de scope tags aux utilisateurs ou groupes Marquage des données via des règles KQL dans Table Management (utilisant des Data Collection Rules) Accès restreint aux alertes, incidents et requêtes de chasse avancée selon le scope Le champ SentinelScope_CF permet de référencer le scope dans les règles de détection ⚠️ Les données historiques (déjà ingérées) ne sont pas rétroactivement taguées Correspondance des rôles Rôle Sentinel Permissions URBAC Reader Security data basic (read) Responder + Alerts (manage), Response (manage) Contributor + Detection tuning (manage) Prérequis Accès au portail Microsoft Defender Rôle Global Administrator + propriétaire d’abonnement OU User Access Administrator + Sentinel Contributor Workspaces Sentinel onboardés dans le portail Defender Permission Security Authorization (Manage) et Data Operations (Manage) pour la gestion des scopes Limitations notables Les tables XDR ne sont pas encore scopables Le scoping des données Defender ingérées dans Sentinel ne propage pas les scopes d’origine (Device Groups, Cloud Scopes) Le scoping des ressources (règles de détection, playbooks, automation rules) est prévu dans les prochains mois 📌 Type d’article : Annonce de mise à jour produit. But principal : informer les administrateurs de sécurité de la disponibilité d’une nouvelle fonctionnalité de gestion des accès dans Microsoft Sentinel. ...

🔍 Contexte Article publié le 14 mars 2026 par Richard Fan sur son blog personnel. Il s’agit d’une recherche offensive menée contre AWS Security Agent, un agent IA autonome conçu pour effectuer des tests de pénétration sur des applications web. Le chercheur a identifié 4 vulnérabilités (une cinquième étant encore en cours de correction). 🌐 Vulnérabilité 1 : DNS Confusion Une faille dans la vérification de domaine lors des pentests sur réseaux privés (VPC) permet à un attaquant de : ...

🔍 Contexte Publié sur GitHub par l’utilisateur daem0nc0re dans le dépôt PrivFu (907 étoiles, 129 forks), ce fichier source C# constitue un proof-of-concept (PoC) démontrant l’utilisation du privilège Windows SeLockMemoryPrivilege. ⚙️ Fonctionnement technique Le PoC illustre comment un processus disposant du privilège SeLockMemoryPrivilege peut : Appeler GetLargePageMinimum() (kernel32.dll) pour obtenir la taille minimale d’une Large Page Allouer une Large Page en mémoire physique via VirtualAlloc() avec les flags MEM_COMMIT | MEM_RESERVE | MEM_LARGE_PAGES Libérer la mémoire allouée via VirtualFree() Gérer proprement l’interruption Ctrl+C avec un handler de nettoyage 🛠️ APIs Windows utilisées kernel32.dll → GetLargePageMinimum, VirtualAlloc, VirtualFree Flags d’allocation : MEM_LARGE_PAGES, MEM_COMMIT, MEM_RESERVE Protection mémoire : PAGE_READWRITE 🎯 Objectif du PoC Le code démontre qu’un attaquant ou un processus disposant de SeLockMemoryPrivilege peut consommer de la mémoire physique via des Large Pages ou AWE (Address Windowing Extensions), ce qui peut être exploité à des fins de déni de service local ou d’abus de privilèges Windows. ...

🔍 Contexte Publié le 20 mars 2026 par Nextron Systems, ce rapport présente une analyse technique approfondie de RegPhantom, un rootkit Windows opérant en mode noyau, découvert et suivi sur une période allant de juin à août 2025. 🧩 Description de la menace RegPhantom est un driver Windows signé (.sys) fonctionnant comme un rootkit furtif. Son mécanisme central repose sur l’utilisation du registre Windows comme canal de communication covert entre un processus usermode et le noyau : ...

🔍 Contexte Publié le 22 mars 2026 par Group-IB, ce rapport analyse en profondeur les tactiques, techniques et procédures (TTPs) du groupe The Gentlemen, une opération Ransomware-as-a-Service (RaaS) émergente composée d’environ 20 membres, anciennement connue sous le nom ArmCorp en tant qu’affilié de Qilin. 🧑‍💻 Origine et historique du groupe L’opération est administrée par un russophone utilisant le pseudonyme hastalamuerte. Le groupe s’est séparé de Qilin suite à un litige financier de 48 000 USD de commission non versée, rendu public le 22 juillet 2025 sur le forum RAMP. Un premier échantillon Windows du ransomware avait déjà été uploadé sur VirusTotal le 17 juillet 2025 (SHA256 : 51b9f246d6da85631131fcd1fabf0a67937d4bdde33625a44f7ee6a3a7baebd2), confirmant que le développement était en cours avant la rupture publique avec Qilin. Le DLS est devenu public début septembre 2025. ...

🔍 Contexte Source : IT-Connect, publié le 20 mars 2026. Cet article rapporte un second incident de sécurité majeur affectant Trivy, le scanner de vulnérabilités open source maintenu par Aqua Security, en l’espace de trois semaines. 📅 Chronologie des incidents Fin février 2026 : Un bot autonome nommé hackerbot-claw exploite une faille dans un workflow GitHub Actions pour dérober un jeton d’accès et prendre le contrôle du dépôt GitHub de Trivy. Le dépôt disparaît temporairement de GitHub. 19 mars 2026 : Un nouvel incident survient. Le compte d’automatisation officiel aqua-bot publie une version malveillante v0.69.4 de Trivy. Une balise v0.70.0 est également brièvement créée. ⚙️ Mécanisme d’attaque Selon le rapport de StepSecurity, l’opération GitHub Action aquasecurity/trivy-action a été modifiée pour pointer vers des commits corrompus contenant un script malveillant. Ce script : ...

📰 Contexte Publié le 20 mars 2026 sur IT-Connect par Florian Burnel, cet article rapporte la publication par Ubiquiti de correctifs pour deux vulnérabilités affectant l’application UniFi Network et UniFi Express, utilisées pour la gestion et la supervision d’équipements réseau (routeurs, switchs, points d’accès Wi-Fi). 🔴 CVE-2026-22557 — Vulnérabilité critique (CVSS 10.0) Type : Path Traversal Accès requis : Aucun (attaquant distant non authentifié) Interaction utilisateur : Non requise Impact : Accès aux fichiers du système sous-jacent, pouvant mener à la compromission de comptes utilisateurs et à la prise de contrôle de l’instance UniFi Versions vulnérables : Official Release : 10.1.85 et antérieures Release Candidate : 10.2.93 et antérieures UniFi Express : 9.0.114 et antérieures Versions corrigées : Official Release : 10.1.89 ou ultérieures Release Candidate : 10.2.97 ou ultérieures UniFi Express : Firmware 4.0.13 (inclus v9.0.118) 🟠 CVE-2026-22558 — Vulnérabilité élevée (CVSS 7.7) Type : Injection NoSQL avec authentification Accès requis : Authentification réseau Impact : Élévation de privilèges Versions vulnérables et corrigées : identiques à CVE-2026-22557 🎯 Portée Les deux vulnérabilités affectent les produits UniFi Network et UniFi Express d’Ubiquiti, déployés dans des environnements réseau professionnels et grand public. ...