IOC

Selon Arctic Wolf, Interlock est un groupe de ransomware apparu en septembre 2024, actif en Amérique du Nord et en Europe, menant des campagnes opportunistes de double extorsion sans modèle RaaS classique. Des attaques marquantes incluent la fuite chez DaVita (plus de 200 000 patients affectés) et l’attaque ransomware contre la ville de St. Paul. 🎯 Le mode opératoire s’appuie sur des sites compromis hébergeant de faux mises à jour qui incitent les victimes, via l’ingénierie sociale ClickFix, à exécuter des commandes PowerShell malveillantes. Le backdoor PowerShell est obfusqué, assure une persistance par modifications de registre, et communique avec l’infrastructure de C2 en abusant du service TryCloudflare. ...

Selon GetSafety (billet référencé), des chercheurs en sécurité décrivent une campagne baptisée « Solana-Scan » qui abuse de l’écosystème NPM pour diffuser un infostealer ciblant l’écosystème Solana, avec un accent sur des développeurs crypto russes. • Nature de l’attaque : campagne d’empoisonnement de la chaîne d’approvisionnement NPM utilisant du JavaScript fortement obfusqué et des techniques avancées d’interaction avec NPM. Les chercheurs notent des motifs de code potentiellement générés par IA. ...

Selon un rapport de recherche publié le 8 août 2025, la convergence de technologies émergentes (IA, IoT, edge/fog, blockchain/DLT, communications quantiques, satellites LEO, jumeaux numériques, BCI/robotique, personnalisation en santé, etc.) transforme profondément le paysage des menaces et des défenses en cybersécurité. Le document dresse un panorama des paires et groupements technologiques les plus discutés (ex. Digital Twins + IA, Blockchain + IA, IA + IoT, Edge + IoT, LEO + communications quantiques, BCI + robotique, IA + médecine personnalisée, Comms quantiques + IoT), en soulignant des risques récurrents: attaque par empoisonnement de modèles, adversarial ML, manipulation/altération des données, atteintes à la vie privée, élargissement de la surface d’attaque et tensions réglementaires (ex. immutabilité blockchain vs droit à l’effacement). ...

Source: JPCERT/CC — L’analyse couvre des incidents observés entre septembre et décembre 2024, montrant l’usage de CrossC2 pour générer des Beacons Cobalt Strike sur Linux/macOS, accompagnés d’un loader Nim (ReadNimeLoader) et d’autres outils offensifs, avec des indices d’une campagne active au Japon et dans d’autres pays. • CrossC2 (Beacon non officiel): compatible Cobalt Strike ≥ 4.1, ciblant Linux (x86/x64) et macOS (x86/x64/M1). À l’exécution, le binaire fork et le processus enfant gère la logique. Le C2 est lu dans la configuration (décryptée en AES128‑CBC) et peut aussi être défini via les variables d’environnement CCHOST/CCPORT. Le binaire contient de nombreux anti‑analyses (chaînes XOR mono‑octet, injections de junk code faciles à neutraliser en NOP sur une séquence d’octets donnée). Le builder public sur GitHub crée des Beacons packés UPX; pour les unpacker, il faut d’abord retirer le bloc de configuration en fin de fichier, puis le réinsérer après UPX. ...

Selon CYFIRMA, ce rapport détaille un malware bancaire Android sophistiqué, nommé Lazarus Stealer, qui se dissimule sous le nom “GiftFlipSoft” pour cibler des applications bancaires russes tout en restant invisible pour l’utilisateur. L’outil vole des numéros de carte, codes PIN et identifiants via des attaques par superposition (overlay) et l’interception des SMS. Le malware exploite des permissions Android à haut risque — RECEIVE_SMS, SYSTEM_ALERT_WINDOW, PACKAGE_USAGE_STATS — afin d’assurer sa persistance et de surveiller l’activité des apps bancaires. Il se définit comme application SMS par défaut pour détourner les OTP, utilise WindowManager pour afficher des interfaces de phishing au-dessus des apps légitimes, maintient une communication C2 continue via HTTP POST, et s’appuie sur des services au premier plan (AppMonitorService, SMSForwardService) pour un monitoring persistant. Il intègre aussi un chargement dynamique de WebView permettant la livraison de contenus contrôlés par l’opérateur. 📱⚠️ ...

Selon Flashpoint (billet de blog), Scattered Spider est un collectif de cybercriminels principalement composé de jeunes adultes US/UK qui s’impose par des campagnes sophistiquées d’ingénierie sociale et des opérations de ransomware en double extorsion. Le groupe cible notamment les secteurs des services financiers, de la restauration et du retail, avec des attaques menées par vagues, misant davantage sur les faiblesses humaines que purement techniques. Leur chaîne d’attaque commence par de la social engineering (MITRE ATT&CK T1566) — vishing 📞, smishing, et attaques d’épuisement MFA — pour obtenir un accès initial, suivi de collecte d’identifiants à l’aide d’info-stealers comme Raccoon et Vidar. Ils abusent d’outils RMM légitimes (TeamViewer, AnyDesk, ScreenConnect) pour la persistance et les mouvements latéraux, et déploient des malwares personnalisés tels que Spectre RAT 🕷️, tout en s’appuyant sur des VPN/proxys cloud pour masquer leur infrastructure. ...

Selon BleepingComputer, une nouvelle campagne exploite un caractère Unicode pour rendre des liens de phishing visuellement similaires à des URL légitimes de Booking.com. Les attaquants utilisent le caractère japonais hiragana ん, qui peut, sur certains systèmes, s’afficher comme un slash, donnant l’illusion d’une structure d’URL authentique. Cette astuce vise à tromper l’utilisateur au premier coup d’œil 🎣🔤. L’objectif est d’amener les victimes à cliquer sur des liens qui paraissent fiables afin de distribuer des logiciels malveillants. L’usurpation de la marque Booking.com est au cœur de la supercherie. ...

Selon Cofense, une nouvelle campagne de rançongiciel exploite des comptes expéditeur compromis pour distribuer LeeMe en se faisant passer pour des outils légitimes SAP Ariba. Les victimes reçoivent des liens vers des archives protégées par mot de passe hébergées sur GoFile et sont induites en erreur par une fausse interface d’installation SAP Ariba et des instructions incitant à désactiver les protections de sécurité. Le malware combine plusieurs capacités offensives : chiffrement AES-256 de plus de 35 types de fichiers avec extensions aléatoires, keylogging (via la bibliothèque pynput), collecte d’identifiants à partir de fichiers contenant des mots-clés sensibles, et mécanismes de persistance (entrées d’exécution automatique et tâches planifiées). Il met aussi en œuvre un contournement de Windows Defender et la mise en place d’accès à distance via serveurs SSH/WINRM. ...

Source : Cymulate (blog) — Dans un billet signé Ruben Enkaoua (12 août 2025), Cymulate Research Labs détaille CVE-2025-50154, une vulnérabilité zero‑click de fuite d’identifiants NTLM qui contourne le correctif Microsoft de CVE-2025-24054 et affecte des systèmes entièrement patchés. • Découverte et portée. La nouvelle faille CVE-2025-50154 permet de déclencher une authentification NTLM sans interaction utilisateur et d’extraire des empreintes NTLMv2 sur des machines à jour. Le chercheur montre qu’en exploitant un angle mort du correctif d’avril, un attaquant peut provoquer des requêtes NTLM automatiques et s’en servir pour du craquage hors‑ligne ou des attaques par relais (NTLM relay), ouvrant la voie à élévation de privilèges, mouvements latéraux et potentielle RCE. ...

Selon Darktrace, une campagne multi‑phases cible les appliances FortiGate via trois vulnérabilités critiques SSL‑VPN permettant une exécution de code à distance sans authentification, avec un enchaînement allant de la compromission initiale à l’escalade de privilèges et à l’accès RDP. • Vulnérabilités exploitées et impact: les failles CVE‑2022‑42475 et CVE‑2023‑27997 (dépassement de tampon sur le tas) et CVE‑2024‑21762 (écriture hors limites dans le démon sslvpnd) sont utilisées pour obtenir une RCE sans authentification sur FortiOS SSL‑VPN et accéder de façon non autorisée à des FortiGate. ...