TTP

🔍 Contexte Ce document est un Flash FBI (FLASH-20260526-01), publié le 26 mai 2026, coordonné avec DHS/CISA, classifié TLP:CLEAR. Il porte sur les activités récentes du groupe Silent Ransom Group (SRG), également connu sous les alias Luna Moth, Chatty Spider et UNC3753. 🎯 Acteur de menace SRG est actif depuis au moins 2022. Le groupe se spécialise dans le vol de données et l’extorsion sans chiffrement (pas de ransomware traditionnel). Depuis le printemps 2023, il cible de manière persistante les cabinets d’avocats américains, tout en ayant également victimisé des entreprises dans les secteurs de l’assurance, de la finance et de la santé. ...

🗓️ Contexte L’article est publié le 26 mai 2026 par The Record from Recorded Future News (auteure : Daryna Antoniuk). Il rapporte une violation majeure de données affectant les systèmes de registres d’État lituaniens, détectée début avril 2026 et rendue publique après un délai lié à l’enquête pénale en cours. 🎯 Nature de l’incident Des attaquants ont obtenu un accès non autorisé à plus de 600 000 enregistrements gérés par le Centre des Registres lituanien, l’agence d’État responsable des registres fonciers et des entités juridiques. L’intrusion a reposé sur le détournement d’identifiants de connexion appartenant à des institutions autorisées à accéder aux bases de données. ...

🔍 Contexte Publié le 27 mai 2026 par PromptArmor, cet article de recherche documente une attaque d’exfiltration de fichiers affectant Microsoft Copilot Cowork, une fonctionnalité Frontier disponible dans Microsoft 365. L’attaque exploite une injection de prompt indirecte combinée à une approbation automatique non documentée de certaines actions sensibles. ⚙️ Mécanisme d’attaque La chaîne d’attaque repose sur plusieurs étapes : La victime possède des fichiers sensibles (PII, données financières) accessibles via SharePoint ou OneDrive La victime charge un fichier de compétence (Skill) empoisonné dans Copilot Cowork — vecteur courant car les Skills sont automatiquement chargés depuis un chemin OneDrive spécifique La victime demande à Copilot Cowork un récapitulatif de sa semaine, déclenchant la compétence malveillante L’injection manipule l’agent pour qu’il envoie un message Teams contenant des balises HTML image malveillantes pointant vers un site contrôlé par l’attaquant, avec les liens de téléchargement pré-authentifiés des fichiers en paramètres de requête À l’ouverture du message Teams par la victime, les liens sont exfiltrés et l’attaquant peut télécharger les fichiers 🎯 Facteur aggravant : approbation automatique Contrairement à ce qu’indique la documentation Microsoft, l’envoi d’emails et de messages Teams à l’utilisateur actif ne requiert aucune approbation humaine. Les utilisateurs ne disposent d’aucun paramètre pour modifier ce comportement. L’activité malveillante n’est pas visible dans l’interface Copilot Cowork. ...

🔍 Contexte Publié le 20 mai 2026 par Akshat Pradhan (FortiGuard Labs / Fortinet), cet article présente une analyse technique approfondie de compromissions persistantes du botnet P2Pinfect détectées dans des clusters Google Kubernetes Engine (GKE) chez plusieurs clients, dont une compromission s’étendant sur six mois. 🎯 Vecteur initial et propagation Les compromissions ont pour origine des instances Redis exposées et mal configurées. P2Pinfect exploite principalement : Des vulnérabilités Redis (dont CVE-2022-0543, sandbox escape Lua) La commande SLAVEOF pour transformer des nœuds Redis ouverts en followers Un SSH password sprayer basique CVE-2025-11953 (Metro4Shell) : RCE non authentifiée dans le serveur de développement React Native Metro, exploitée à partir de novembre 2025 CVE-2025-49844 (RediShell) : RCE Redis via bypass sandbox Lua, évaluée avec faible confiance comme vecteur potentiel 🛠️ Caractéristiques techniques du malware Écrit en Rust, ciblant Linux x86_64, Windows et routeurs Binaires packés via UPX Architecture peer-to-peer décentralisée résistante au sinkholing Communication sur ports non-standard Distribution de payloads via URI uniformes (/Linux, /Windows, /IP) Argument de lancement encodé en base64, chiffré via ChaCha20 avec clé et nonce nuls (obfuscation décorative) Le blob déchiffré contient une nodelist bootstrap (header 2 octets + enregistrements IP:Port) 📦 Script de déploiement identifié Un nouveau script deployer.sh (MD5: 80676a539765a9e117f20b6b99887eca) a été identifié : ...

🔍 Contexte Publié le 27 mai 2026 par Manuel Humberto Santander Peláez sur le SANS Internet Storm Center, cet article présente la reconstruction complète d’une kill chain Akira ransomware dans une organisation de taille moyenne, en utilisant exclusivement des syslogs SSLVPN de pare-feu et des exports EVTX Windows (Security, System, PowerShell/Operational). Aucun EDR, PCAP ou proxy log n’était disponible. 🎯 Environnement cible Forêt Active Directory mono-site derrière un NGFW périmétrique Accès distant via SSLVPN pour une petite équipe Logs firewall couvrant ~7 jours avant l’événement de chiffrement Exports EVTX de 2 contrôleurs de domaine et 3 serveurs membres 🔗 Déroulement de l’attaque Stage 1 – Accès initial : ...

🗓️ Contexte Article publié le 27 mai 2026 sur Tom’s Hardware, relatant un conflit public entre le chercheur en sécurité Nightmare-Eclipse (alias Chaotic Eclipse) et Microsoft/MSRC, ayant conduit à la publication de plusieurs zero-days Windows sans coordination de divulgation responsable. ⚔️ Conflit chercheur / éditeur Le différend a débuté début avril avec la publication sans préavis du zero-day BlueHammer. Eclipse affirme que Microsoft a refusé toute communication, supprimé son compte Microsoft utilisé pour les rapports de bugs, puis banni son compte GitHub. Il allègue également ne pas avoir reçu de paiement du programme MSRC Bug Bounty (qui prévoit des récompenses de 30 000 $ à 250 000 $ selon la criticité). Eclipse a migré vers GitLab suite au bannissement. ...

🔍 Contexte Le 22 mai 2026, X41 D-Sec GmbH publie l’advisory X41-2026-002 concernant une vulnérabilité de sévérité haute (CVSS 4.0 : 7.0) affectant le framework Python Starlette, découverte lors d’un audit de code source sans rapport direct le 27 janvier 2026. 🐛 Vulnérabilité Starlette reconstruit l’URL cliente à partir du header HTTP Host et du chemin de la requête selon le schéma f"{scheme}://{host_header}{path}", sans valider le contenu du header Host conformément à la RFC 9112 Section 3.2. ...

🔍 Contexte Fin 2025, Mandiant (Google Threat Intelligence Group) a répondu à un incident de sécurité impliquant un serveur web compromis exécutant KnowledgeDeliver, un système de gestion de l’apprentissage (LMS) développé par Digital Knowledge, largement utilisé au Japon. L’analyse a été publiée le 25 mai 2026. 🎯 Vulnérabilité exploitée La vulnérabilité, désormais suivie sous CVE-2026-5426, résulte de l’utilisation de valeurs machineKey ASP.NET identiques et codées en dur dans le fichier web.config fourni par le vendeur, partagées entre tous les déploiements clients. Cette configuration standardisée permettait à un acteur malveillant ayant obtenu les clés d’un déploiement de compromettre n’importe quelle instance KnowledgeDeliver exposée sur Internet. ...

📰 Source : Hackread.com — Date de publication : 25 mai 2026 Le site de vente en ligne BasedApparel.com, co-créé par le directeur du FBI Kash Patel et Andrew Ollis, a été compromis par des acteurs inconnus pour distribuer un infostealer ciblant macOS via une technique d’ingénierie sociale connue sous le nom de ClickFix. 🎯 Mécanisme de l’attaque Lors de la visite du site, les utilisateurs étaient redirigés vers une fausse page de vérification imitant Cloudflare (faux CAPTCHA « Verify you are human »). La page affichait un avertissement de trafic inhabituel et demandait à l’utilisateur de : ...

🎯 Contexte L’article est publié le 21 mai 2026 par l’équipe SafeDep sur leur blog technique. Il documente une campagne d’attaque massive sur la chaîne d’approvisionnement logicielle, baptisée megalodon, détectée après que le moteur d’analyse Malysis de SafeDep a flagué le package npm @tiledesk/tiledesk-server@2.18.12. 📅 Déroulement de la campagne Le 18 mai 2026, entre 11h36 et 17h48 UTC, un attaquant a poussé 5 718 commits malveillants sur 5 561 dépôts GitHub distincts en utilisant : ...