TTP

📅 Article publié le 6 juin 2026 sur le blog personnel d’Antonio Parata, présentant une expérience d’analyse dynamique du malware Lorem Ipsum à l’aide de trois outils personnalisés développés en Rust avec assistance de l’IA Claude Pro. 🔬 Contexte malware : Le malware Lorem Ipsum, déjà documenté dans un billet BlueVoyant, est disponible sur MalwareBazaar. Il nécessite Node.js pour s’exécuter, dépose son binaire dans C:\ProgramData\Microsoft Edge Updates Helper qZWpLKQXEGaa\Microsoft Edge Updates Helper.exe, et est fortement obfusqué, rendant l’analyse statique très difficile (IDA ne peut pas décompiler le code). ...

🔍 Contexte Publié le 18 mai 2026 par DeXpose en collaboration avec Buguard, cet article présente une investigation OSINT complète ayant conduit à l’attribution d’un threat actor connu sous l’alias Quellostanco, actif depuis début 2026 contre des cibles égyptiennes. Le dossier d’attribution complet a été transmis aux autorités judiciaires compétentes. 🎯 Activités malveillantes attribuées à Quellostanco L’acteur a opéré sous la bannière du groupe INT3X, en collaboration avec les alias CrowStealer et bigF : ...

🗓️ Contexte Source : Have I Been Pwned (haveibeenpwned.com), publié le 7 juin 2026. L’incident concerne Baker Distributing Company, distributeur en gros de matériel HVAC/R (chauffage, ventilation, climatisation, réfrigération) basé aux États-Unis. 🎯 Nature de l’incident En mai 2026, Baker Distributing a été ajouté au site d’extorsion « pay or leak » du groupe ShinyHunters. Début juin 2026, le groupe a publiquement diffusé les données qu’il affirme avoir extraites de l’infrastructure SharePoint et Salesforce de l’entreprise. ...

🔍 Contexte Publié le 3 juin 2026 par Vincent Li (FortiGuard Labs), cet article présente l’analyse technique détaillée de C0XMO, un nouveau variant du botnet Gafgyt découvert en mars 2026. La cible initiale était une entreprise technologique japonaise, mais l’adresse IP source de l’attaque a été tracée en Allemagne. 🎯 Vecteur d’infection initial Le malware se propage en exploitant CVE-2021-27137, un stack buffer overflow dans le service UPnP des firmwares DD-WRT antérieurs au changeset 45723. La vulnérabilité est déclenchée via des requêtes M-SEARCH malformées envoyées sur le port UDP 1900, exploitant une mauvaise gestion des valeurs ST:uuid: surdimensionnées par le parseur SSDP. ...

🔍 Contexte Source : CrowdSec Tracker (https://tracker.crowdsec.net/cves/CVE-2026-8181), publié le 8 juin 2026. La CVE a été initialement publiée sur le NVD le 14 mai 2026. 🐛 Vulnérabilité CVE-2026-8181 est une vulnérabilité critique d’authentification bypass (CVSS : 9.8) affectant le plugin Burst Statistics – Privacy-Friendly WordPress Analytics pour WordPress CMS, dans les versions 3.4.0 à 3.4.1.1. La faille réside dans une mauvaise gestion de la valeur de retour de la fonction is_mainwp_authenticated() lors de la validation des mots de passe d’application issus de l’en-tête Authorization. Un attaquant non authentifié, connaissant le nom d’utilisateur d’un administrateur, peut usurper son identité en fournissant n’importe quel mot de passe en Basic Authentication, aboutissant à une élévation de privilèges. ...

🏥 Contexte Source : communiqué officiel publié sur le site unimed.de, daté du 29 mai 2026 (publication CTI le 4 juin 2026). unimed Abrechnungservice für Kliniken und Chefärzte GmbH est une société allemande basée à Wadern, spécialisée dans la gestion de la facturation médicale pour cliniques et médecins-chefs. 🔍 Déroulement de l’incident Date de détection : 14 avril 2026 Type d’incident : cyberattaque avec exfiltration de données Le lendemain de la détection, les premiers clients identifiés ont été notifiés L’incident a été signalé à l’autorité de protection des données compétente et à la police Des experts forensiques IT externes ont été mandatés pour l’investigation Des experts forensiques en données ont été mobilisés pour l’analyse des données exfiltrées Un équipe externe de réponse sur incident (Incident Response) a été engagée 📂 Données compromises Seul un volume très limité de jeux de données a été exfiltré Les données concernent la correspondance relative aux contestations de factures de patients privés et patients payant directement (Privatpatienten und Selbstzahler) La grande majorité des données exfiltrées ne constitue pas des données financières ou de santé particulièrement sensibles L’identification des clients et patients concernés a nécessité une analyse détaillée (données structurées par numéros de facture et flux de paiement) Les résultats de l’analyse ont été communiqués individuellement aux clients concernés à partir de mi-mai 2026 📡 Surveillance post-incident Aucune publication des données volées n’a été détectée à ce jour Selon l’équipe IR externe, une publication des données n’est plus considérée comme probable Un monitoring continu est maintenu sur des sites du clear web et du dark web 🔄 Reprise d’activité Les systèmes IT ont été sécurisés et sont en fonctionnement normal depuis plusieurs semaines La majorité des clients a repris les opérations de facturation immédiatement après la remise en service Un Security Operations Center (SOC) externe assure désormais la surveillance continue des systèmes 📋 Nature du document Il s’agit d’un communiqué de presse officiel post-incident publié par la victime, visant à informer le public, les clients et les patients sur le déroulement de l’incident, les mesures prises et l’état actuel de la situation. ...

📰 Source : BleepingComputer — publié le 6 juin 2026 Contexte Une vulnérabilité critique identifiée sous CVE-2026-3300 affecte le plugin commercial Everest Forms Pro (versions 1.9.12 et antérieures) pour WordPress. Cette faille est activement exploitée dans la nature depuis le 13 avril, selon les données télémétriques de Wordfence. Détails techniques La vulnérabilité réside dans la fonctionnalité Complex Calculation du plugin, qui insère des valeurs soumises via des champs de formulaire dans une chaîne de code PHP, puis exécute ce code via la fonction eval(). ...

📰 Source : TechCrunch, publié le 5 juin 2026. Cet article rapporte le contenu d’une plainte judiciaire déposée en 2020 par William Barlow, ancien vice-président de la threat intelligence chez IBM jusqu’en août 2019, et dont le scellement vient d’être levé. 🎯 Contexte de l’affaire Barlow accuse IBM d’avoir subi plusieurs intrusions par des acteurs étatiques étrangers sur une décennie, et d’avoir délibérément dissimulé ces incidents sans notifier les autorités compétentes ni les clients gouvernementaux. IBM est un fournisseur majeur de cybersécurité pour le gouvernement fédéral américain, ce qui rend la dissimulation alléguée particulièrement significative. ...

🔍 Contexte Le 5 juin 2026, Bishop Fox (chercheur Jon Williams) publie une analyse technique approfondie d’une chaîne d’exploitation affectant UniFi OS Server d’Ubiquiti, couverte par le Security Advisory Bulletin 064 (SAB-064) publié le 21 mai 2026. L’analyse porte sur les versions 5.0.6 et inférieures (unifi-core ≤ 5.0.126), validée sur une cible live. 🧩 Chaîne d’exploitation (3 parties) Partie 1 — Contournement de l’authentification (CVE-2026-34908 / CVE-2026-34909, CVSS 10.0) Le proxy Nginx utilise $request_uri (brut, encodé) pour la vérification d’authentification via auth_request, mais $uri (normalisé, décodé) pour le routage vers les backends. Une requête dont l’URI brut commence par /api/auth/validate-sso/ (route publique exemptée) mais dont la forme normalisée résout vers /proxy/<service>/ (route authentifiée) contourne le contrôle d’accès. Des séquences de path traversal encodées (..%2f, ..%2e, %2e%2e) permettent cette divergence. Partie 2 — Injection de commande (CVE-2026-34910, CVSS 10.0 / CVE-2026-33000, CVSS 9.1) ...

📰 Source : BleepingComputer — Date de publication : 5 juin 2026 Contexte En 2024, le domaine polyfill[.]io — un CDN JavaScript destiné à assurer la compatibilité des sites web avec les navigateurs anciens — avait été racheté par une entité chinoise non identifiée qui y avait injecté du code malveillant, impactant plus de 100 000 sites web. Le créateur du projet open source, Andrew Betts, avait alors recommandé de retirer le service et migré vers de nouveaux domaines (polyfill.com, puis polyfill.top). ...