Living-Off-the-Land

🔍 Contexte Publié le 19 avril 2026 sur GitHub par DylanDavis1, DSCourier est un outil de preuve de concept (PoC) accompagné d’un article de blog technique détaillé. Il s’inscrit dans une démarche de recherche offensive sur les techniques de contournement d’EDR. ⚙️ Technique exploitée DSCourier exploite l’API COM WinGet Configuration (Microsoft.Management.Configuration) pour appliquer des configurations DSC (Desired State Configuration) en passant par des binaires signés Microsoft. Cette approche permet de masquer l’activité malveillante derrière des processus légitimes et de confiance. ...

Le groupe hacktiviste pro-palestinien Handala, lié à l’Iran, a compromis les credentials Global Admin de Stryker Corporation pour déclencher un wipe massif via Microsoft Intune le 11 mars 2026. 🗓️ Contexte Source : ThreatHunter.ai, publié le 21 mars 2026. L’article analyse l’attaque destructrice menée par Handala contre Stryker Corporation, fabricant américain de dispositifs médicaux, dans la nuit du 11 mars 2026. 💥 Déroulement de l’attaque Les attaquants ont compromis l’environnement Microsoft Entra ID de Stryker et obtenu des credentials Global Administrator. Ils ont ensuite émis des commandes de wipe à distance en masse via Microsoft Intune, la plateforme MDM cloud de l’entreprise. L’attaque a débuté juste après minuit EDT et a touché : ...

Selon security.com, une campagne attribuée à des acteurs liés à la Russie (Sandworm/Seashell Blizzard, GRU) a visé des services d’entreprises et des entités gouvernementales en Ukraine pendant deux mois, avec pour objectifs l’exfiltration d’informations sensibles et l’accès persistant au réseau. L’attaque s’appuie sur le déploiement de webshells sur des serveurs exposés et non corrigés, dont le webshell Localolive associé à Sandworm. Les assaillants ont privilégié des tactiques de type Living-off-the-Land, limitant l’empreinte malveillante et démontrant une connaissance approfondie des outils natifs Windows. ...

Source: CyberScoop — Lors du Billington Cybersecurity Summit, un haut responsable cyber du FBI et un cadre de la CISA ont décrit une évolution marquée des méthodes d’attaquants étatiques chinois, contraignant les autorités américaines à adapter leurs approches de chasse et de détection. Le FBI cite les groupes chinois Salt Typhoon (à l’origine d’un vaste piratage des télécoms révélé à l’automne dernier) et Volt Typhoon (infiltrations d’infrastructures critiques américaines, en vue de potentielles perturbations). Ces opérations sont désormais plus furtives et patientes, privilégiant l’accès persistant et le camouflage via des techniques de living off the land (usage d’outils légitimes). Conséquence: moins de signaux/IOCs exploitables et une chasse assumée « comme s’ils étaient déjà dans le réseau ». ...

Selon Trend Micro, des cybercriminels et acteurs étatiques détournent les fonctionnalités légitimes de Microsoft Power Automate pour mener des opérations discrètes, profitant de l’essor de l’automatisation et de lacunes de visibilité dans les environnements Microsoft 365. • Constat principal : des fonctionnalités natives et connecteurs de Power Automate sont utilisées pour des activités de Living off the Land, facilitant la fuite de données, la persistance, le contournement des contrôles, le Business Email Compromise (BEC), le soutien à des campagnes de ransomware et des opérations d’espionnage. ...

L’article publié par Intel 471 fournit une analyse complète de la famille de malwares Lumma infostealer, mettant en lumière ses méthodes de distribution via des campagnes de logiciels piratés et les efforts récents de perturbation par les forces de l’ordre. L’analyse technique décrit l’implémentation de Lumma utilisant le crypteur CypherIT pour l’évasion, la méthodologie de déploiement du programme d’installation NSIS, et l’infrastructure de commande et contrôle. Les techniques de chasse aux menaces se concentrent sur la détection de modèles comportementaux où les attaquants utilisent Tasklist.exe avec Findstr pour énumérer les processus de sécurité en cours d’exécution. ...