TTP

Selon Seqrite Labs, une nouvelle menace baptisée « Noisy Bear » mène des attaques ciblées contre des employés de KazMunaiGas au Kazakhstan, en s’appuyant sur des leurres RH (planning de salaires) pour livrer une chaîne d’infection multi‑étapes et obtenir un accès persistant. • Nature de l’attaque: spear‑phishing avec faux emails RH contenant des archives ZIP et des fichiers LNK agissant comme téléchargeurs. • Charge utile et persistance: déploiement d’un implant DLL 64‑bit assurant un accès persistant et une cohabitation singleton (sémaphores), avec injections de code dans des processus système. • Impact visé: prise de contrôle à distance via reverse shell, maintien furtif et persistance sur les postes ciblés du secteur de l’énergie. • Infrastructures et attribution: utilisation d’une infrastructure hébergée chez Aeza Group LLC (hébergeur sanctionné) et d’outils open source de red team, éléments suggérant une possible attribution russe. ...

Selon Cato Networks, une campagne de phishing a abusé de l’infrastructure légitime de Simplified AI pour dérober des identifiants Microsoft 365, en combinant usurpation d’identité d’un cadre d’un distributeur pharmaceutique mondial et pièces jointes PDF protégées par mot de passe. Le mode opératoire s’est déroulé en quatre étapes : (1) envoi d’un email d’« executive impersonation » contenant un PDF protégé, (2) inclusion dans le PDF d’un lien vers la plateforme Simplified AI avec un habillage de marque usurpé, (3) redirection via le domaine app.simplified.com afin de conserver une apparence de légitimité, (4) bascule finale vers un portail de connexion Microsoft 365 contrefait hébergé sur pub-6ea00088375b43ef869e692a8b2770d2.r2.dev. ...

Selon Proofpoint (blog Threat Insight), les chercheurs constatent une montée des campagnes cybercriminelles exploitant Stealerium, un infostealer open source en .NET, adopté par les acteurs TA2715 et TA2536, avec des leurres de voyage, paiement et juridique. L’ouverture du code a favorisé l’émergence de variantes, dont Phantom Stealer, présentant un chevauchement de code important qui complique la détection. Côté capacités, Stealerium opère un vol de données étendu: identifiants de navigateurs, portefeuilles crypto, keylogging, et reconnaissance Wi‑Fi via commandes « netsh wlan ». Il inclut une détection de contenus pour adultes pouvant servir à la sextorsion, et abuse du remote debugging pour contourner le Chrome App‑Bound Encryption. ...

Source : Trellix — Dans un billet de recherche, l’éditeur analyse l’évolution d’XWorm vers des tactiques plus trompeuses et une chaîne d’infection en plusieurs étapes, aujourd’hui largement observées en environnement d’entreprise. L’infection débute via un fichier .lnk qui exécute des commandes PowerShell afin de télécharger discord.exe, lequel dépose ensuite main.exe et system32.exe. Les exécutables sont déguisés avec des noms et des icônes légitimes pour tromper l’utilisateur. Le malware intègre des techniques anti‑analyse avancées : création de mutex (1JJyHGXN8Jb9yEZG), détection d’environnements virtualisés et auto‑termination. Il met en place une persistance via tâches planifiées et modifications de registre. ...

Selon le blog Google Cloud Threat Intelligence (Mandiant), une attaque en cours cible des instances Sitecore exposées sur Internet via une désérialisation ViewState exploitant la zero‑day CVE‑2025-53690, en s’appuyant sur des clés machine d’exemple issues d’anciens guides de déploiement. Sitecore a corrigé le problème et a notifié les clients utilisant des configurations héritées avec ces clés. L’attaque passe par l’endpoint blocked.aspx et injecte un ViewState malveillant contenant le malware WEEPSTEEL dédié à la reconnaissance, qui collecte des informations système et les exfiltre via des champs HTML cachés. Le ou les acteurs ont ensuite élevé les privilèges de NETWORK SERVICE vers SYSTEM, créé des comptes administrateurs locaux, procédé à un dump des hives SAM/SYSTEM et déployé plusieurs outils pour la persistance, le mouvement latéral et la reconnaissance AD : EARTHWORM (tunneling réseau), DWAGENT (accès à distance) et SHARPHOUND (cartographie Active Directory). ...

Selon TRM Labs, à la suite du démantèlement de Garantex en mars 2025, des plateformes successeurs à haut risque — Grinex, ABCex et AEXbit — adoptent des tactiques opérationnelles similaires afin d’assurer la continuité et d’éviter l’attention des forces de l’ordre. L’analyse met en évidence, via des outils d’analyse blockchain, des schémas de co-spending entre des adresses attribuées à ABCex et AEXbit, indiquant avec une forte certitude un contrôle commun des deux plateformes. 🔗 ...

Source: LAB52 (équipe renseignement de S2 Grupo). Contexte: analyse technique d’un nouvel artefact d’APT28 (« NotDoor ») ayant compromis des entreprises de divers secteurs dans des pays membres de l’OTAN. 🔍 Livraison et installation: Le malware est une macro VBA pour Outlook installée via DLL side‑loading en abusant du binaire légitime Microsoft OneDrive.exe qui charge une SSPICLI.dll malveillante. Cette DLL installe la backdoor en copiant un fichier préparé (c:\programdata\testtemp.ini) vers %APPDATA%\Microsoft\Outlook\VbaProject.OTM, puis désactive des protections macro et boîtes de dialogue via la base de registre. ...

Source: Bitsight (équipe TRACE) — Dans un billet de recherche long format, un analyste raconte la compromission de son propre NVR (enregistreurs vidéo en réseau ) et détaille la botnet RapperBot, de l’intrusion initiale aux campagnes DDoS, en incluant des IoCs, les mécanismes C2 (TXT DNS chiffrés) et l’évolution récente de l’infrastructure. — Chaîne d’infection et capacités — Exploitation ciblée d’un NVR exposé (potentiellement via UPnP) : path traversal sur le webserver (port 80) permettant d’exfiltrer les fichiers Account1/Account2 avec identifiants hashés et en clair, puis mise à jour de firmware factice sur le port 34567 (admin) pour exécuter du code. Le « firmware » lance un montage NFS et exécute un binaire (z) depuis un partage distant, choix dicté par un BusyBox minimal (pas de curl/wget/ftp/dev/tcp). Le malware s’exécute en mémoire, efface ses traces, varie ses noms de processus, et ne maintient pas de persistance (réinfection continue). Fonctions observées: scan TCP (notamment telnet 23), DDoS UDP (flood massif sur UDP/80), brute‑force de l’admin sur 34567. Communication C2 sur un ensemble de ports (ex. 443, 554, 993, 995, 1935, 2022, 2222, 3074, 3389, 3478, 3544, 3724, 4443, 4444, 5000, 5222, 5223, 6036, 6666, 7000, 7777, 10554, 18004, 19153, 22022, 25565, 27014, 27015, 27050, 34567, 37777). — Découverte C2 via DNS et évolution — ...

Selon une analyse publiée par RUSI (Royal United Services Institute) et signée par Ciaran Martin, la Chine a profondément transformé ses capacités d’attaque numériques, passant d’un cyber axé sur le vol économique à une posture stratégique et potentiellement disruptive ciblant les intérêts et infrastructures occidentales. L’article identifie deux opérations majeures révélées en 2023-2024: Salt Typhoon (opération de renseignement d’État) a «comprehensivé» les télécoms américains, au point que Washington a conseillé à ses élites d’utiliser des messageries chiffrées de bout en bout. L’auteur compare l’ampleur de l’accès à un «Snowden à l’envers» pour les États-Unis. Volt Typhoon, conduit par l’Armée populaire de libération, a placé des implants préparatoires furtifs dans de multiples secteurs des infrastructures critiques américaines (fabrication, énergie/utilities, transport, construction, maritime, IT, éducation et gouvernement; pas de santé mentionnée), validé par les Five Eyes, en vue d’une détonation stratégique en cas de confrontation majeure (ex. Taïwan). ...

Selon Pointwild, cette fiche de threat intelligence présente DragonForce, un ransomware‑as‑a‑service apparu mi‑2023 et attribué à la Malaisie, avec un focus sur ses tactiques de multi‑extorsion, ses cibles récentes au Royaume‑Uni et ses mécanismes techniques d’évasion et de persistance. Le groupe opère un modèle RaaS et mène une multi‑extorsion: chiffrement des données et exfiltration d’informations sensibles. Début 2025, il a étendu ses opérations via un service « white‑label » nommé Ransom Bay et a ciblé des détaillants britanniques, dont Marks & Spencer et Harrods. ...