TTP

Cet article de cybersecurity-blog met en lumière une nouvelle menace cybernétique orchestrée par le groupe parrainé par l’État nord-coréen, Famous Chollima, une sous-division du groupe Lazarus. PyLangGhost RAT, une évolution en Python de GoLangGhostRAT, est déployé via des campagnes de social engineering sophistiquées, notamment des faux entretiens d’embauche et des scénarios ‘ClickFix’. Ce malware cible spécifiquement les secteurs de la technologie, de la finance et des cryptomonnaies. Le RAT est conçu pour voler des données de portefeuille de cryptomonnaie et des identifiants de navigateur, tout en établissant un accès à distance persistant. Bien que les taux de détection soient faibles (0-3 sur VirusTotal), des outils d’analyse comportementale peuvent identifier la menace grâce à ses schémas de communication et ses chaînes d’exécution. ...

L’article de Unit42 de Palo Alto Networks met en lumière une technique d’élévation de privilèges critique nommée BadSuccessor, ciblant les environnements Windows Server 2025. Cette technique exploite les comptes de service gérés délégués (dMSA) pour compromettre les domaines Active Directory. Les attaquants peuvent manipuler les attributs des dMSA pour se faire passer pour n’importe quel utilisateur de domaine, y compris les administrateurs de domaine, en créant des objets dMSA malveillants et en modifiant des attributs spécifiques pour simuler des migrations de comptes terminées. Cette vulnérabilité non corrigée nécessite uniquement des permissions standard d’utilisateur de domaine avec des droits d’accès spécifiques aux unités organisationnelles, ce qui la rend particulièrement dangereuse. ...

L’article provient de The DFIR Report et décrit une campagne sophistiquée exploitant le SEO poisoning pour distribuer des outils de gestion IT trojanisés, permettant l’installation du malware Bumblebee et du ransomware Akira. L’attaque commence par des résultats de recherche Bing empoisonnés qui redirigent vers des sites malveillants hébergeant des installateurs MSI trojanisés. Ces fichiers MSI déploient le malware Bumblebee via msimg32.dll en utilisant consent.exe, établissant des communications C2 avec des domaines DGA. ...

L’analyse du deuxième trimestre 2025 par FortiGuard Labs met en lumière les risques significatifs de sécurité de la chaîne d’approvisionnement posés par des paquets malveillants dans les dépôts open source. Les chercheurs ont analysé plus de 1,4 million de paquets NPM et 400 000 paquets PyPI, identifiant des schémas d’attaque persistants tels que l’exfiltration de données, le vol d’identifiants et le ciblage de portefeuilles de cryptomonnaies. Les acteurs malveillants utilisent des tactiques constantes, y compris la réduction du nombre de fichiers, l’utilisation de scripts d’installation et des techniques d’obfuscation. ...

L’Internet Storm Center rapporte qu’Apple a récemment publié des mises à jour pour iOS, iPadOS, macOS, watchOS, tvOS, et visionOS. Ces mises à jour incluent des correctifs pour un total de 89 vulnérabilités. Bien que la plupart des vulnérabilités soient liées à des problèmes de déni de service et de corruption de mémoire, certaines concernent des escalades de privilèges et des évasions de sandbox. Les descriptions fournies par Apple restent vagues, mais certaines vulnérabilités notables incluent la possibilité pour une application de lire un identifiant de périphérique persistant (CVE-2025-24220) ou d’exécuter du code arbitraire en dehors de son sandbox (CVE-2025-24119). ...

Le rapport de mi-année publié par Forescout met en lumière les tendances de la cybersécurité pour la première moitié de 2025, avec une attention particulière sur l’augmentation des attaques ciblant les technologies opérationnelles (OT), les exploitations de failles zero-day, et les campagnes de ransomware. Les principales conclusions montrent une croissance de 46% des exploitations zero-day et une augmentation de 36% des attaques par ransomware, totalisant 3 649 incidents. Les menaces hacktivistes iraniennes évoluent, ciblant de plus en plus les infrastructures critiques. Le rapport identifie 137 acteurs de menace actifs, avec la Chine, la Russie et l’Iran en tête, tandis que les États-Unis restent la cible principale avec 53% des attaques. Le secteur de la santé a subi 341 violations affectant près de 30 millions de personnes. ...

L’article publié par Cyfirma met en lumière les menaces croissantes auxquelles fait face le secteur des technologies de l’information. Au cours des 90 derniers jours, 44% des campagnes APT observées ciblaient ce secteur, qui est également en tête pour les discussions sur le dark web (18.3%) et l’exposition aux vulnérabilités (35.8%). Le secteur a connu 140 incidents de ransomware, avec le Japon comme pays le plus ciblé. Les principaux acteurs de la menace identifiés sont les APT chinois (Volt Typhoon, Stone Panda) et les groupes russes (TA505, FIN11). Les fuites de données et les violations continuent de croître, bien que l’activité des ransomwares se soit stabilisée après des pics en début d’année. ...

L’article publié par McAfee révèle une campagne de malware sophistiquée ciblant les utilisateurs Android en Inde, en se faisant passer pour des applications bancaires populaires telles que SBI Card, Axis Bank et IndusInd Bank. Le malware combine le vol de données financières avec des capacités de minage de cryptomonnaie Monero cachées, déclenchées via Firebase Cloud Messaging. Il est distribué par le biais de sites de phishing convaincants imitant les portails bancaires légitimes. ...

La compagnie aérienne nationale russe Aeroflot est au cœur d’une controverse de cybersécurité après que le groupe de hacktivistes biélorusses Cyber Partisans a revendiqué la divulgation de données confidentielles. Parmi les informations exposées figurerait l’historique de voyage du PDG Sergueï Aleksandrovsky, malgré le démenti officiel de l’agence de surveillance internet russe Roskomnadzor, qui nie toute violation de données. Les pirates affirment avoir mis la main sur plus de 30 vols effectués par Aleksandrovsky entre avril 2024 et juin 2025. Ils menacent également de publier l’intégralité de la base de données des vols d’Aeroflot, arguant que l’opération a été facilitée par l’utilisation de mots de passe faibles et de versions obsolètes de Windows par les employés. ...

Selon un rapport publié par Pixm Security, les attaques de phishing visant les utilisateurs sur leurs appareils professionnels ne ralentissent pas, même pendant l’été, période durant laquelle de nombreux employés emportent leurs ordinateurs portables chez eux pour les vacances. La seconde moitié de juillet a vu une augmentation marquée des attaques de spearphishing ciblant Microsoft et Outlook, utilisant des tactiques innovantes telles que des kits de phishing pour l’authentification multi-facteurs (MFA) et du contenu de phishing distribué hébergé sur plusieurs serveurs CDN de confiance. ...