TTP

Source et contexte: Rapport de PIXM Security (Chris Cleveland) couvrant la fin août, décrivant une hausse record de campagnes de phishing ciblant des utilisateurs et administrateurs aux États‑Unis, avec abus d’infrastructures Cloudflare, Azure et Hostinger et un focus sur l’évasion des détections. • Panorama des attaques 🎣 Plusieurs vagues ont ciblé des services Microsoft, Adobe Cloud et Paperless Post, ainsi que des comptes personnels (Yahoo, Amazon) utilisés sur des appareils professionnels. Des arnaques de support Microsoft et des kits de relais MFA ont été observés, avec des pages adaptées par géolocalisation IP et paramètres d’URL pour router les victimes vers des centres d’appels distincts. ...

Source: PolySwarm Hivemind — Analyse détaillée d’une campagne Linux où le backdoor VShell est diffusé par une chaîne d’infection inédite exploitant des noms de fichiers RAR malveillants, avec liens à plusieurs APT chinoises. VShell est un backdoor Linux en Go qui s’appuie sur une injection de commande via nom de fichier dans des archives RAR. Un fichier dont le nom contient une commande Bash encodée Base64 s’exécute lorsque des opérations shell courantes (ex. ls, find, eval) traitent ce nom, déclenchant l’infection sans interaction supplémentaire ni bit exécutable. L’attaque débute par un email de spam déguisé en sondage beauté offrant une petite récompense 💌. ...

Source: Black Hat USA (présentation ERNW). Contexte: étude financée par le BSI allemand (2024–2026) visant à disséquer des composants de sécurité Windows, dont Windows Hello for Business (WHfB) et le Windows Biometric Service (WBS). Les chercheurs détaillent l’architecture de WHfB, l’initialisation et les pipelines du Windows Biometric Service, ainsi que le mode Enhanced Sign-in Security (ESS) impliquant VBS/VTL et l’isolement (BioIso.exe). Ils décrivent les flux d’authentification biométrique, l’intégration LSASS/TPM, et la gestion des unités biométriques (capteur/engine/storage). ...

Source et contexte — Alerte conjointe (NSA, CISA, FBI, DC3, ASD/ACSC, CCCS/CSIS, NCSC‑NZ, NCSC‑UK, NÚKIB, SUPO, BND/BfV/BSI, AISE/AISI, Japon NCO/NPA, MIVD/AIVD, SKW/AW, CNI) publiée en août 2025, TLP:CLEAR. Elle décrit une campagne d’espionnage conduite par des APT chinoises visant des réseaux mondiaux (télécoms, gouvernement, transport, hôtellerie, militaire), avec un fort accent sur les routeurs backbone/PE/CE et la persistance de long terme. Les activités se recoupent avec Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807, GhostEmperor. ...

Contexte: Akamai publie une analyse expliquant l’impact du patch Microsoft pour la vulnérabilité BadSuccessor (CVE-2025-53779) dans Active Directory, liée aux nouveaux comptes dMSA sous Windows Server 2025. Avant patch, BadSuccessor permettait à un utilisateur faiblement privilégié de lier un delegated Managed Service Account (dMSA) à n’importe quel compte AD, poussant le KDC à fusionner les privilèges dans le PAC et à retourner un paquet de clés Kerberos du compte cible, entraînant une élévation directe au niveau Domain Admin. ...

Source et contexte: BforeAI (PreCrime Labs) publie en août 2025 une analyse des domaines récemment enregistrés autour de la FIFA Club World Cup 2025 et de la Coupe du Monde 2026, montrant une préparation active d’infrastructures frauduleuses. • Volume et temporalité: 498 domaines analysés, avec un pic de 299 enregistrements du 8 au 12 août 2025. Les acteurs réutilisent d’anciens domaines ou enregistrent tôt pour les « faire vieillir » avant les campagnes, y compris des mentions de 2026 (41), 2030 (10) et 2034 (1). ...

Selon Permiso (permiso.io), des acteurs menaçants exploitent Microsoft Teams comme vecteur d’ingénierie sociale pour distribuer un payload PowerShell, en se faisant passer pour du support IT afin d’obtenir un accès à distance et déployer des malwares. Les campagnes observées s’appuient sur des comptes Microsoft Teams nouvellement créés ou compromis, usurpant des rôles de « IT SUPPORT », « Help Desk », etc., parfois agrémentés d’un ✅ dans le nom pour simuler une vérification. Ces identités tirent parti de tenants onmicrosoft.com aux conventions de nommage génériques (admin, engineering, supportbotit). Les cibles sont variées mais basées en régions anglophones. Le contact initial se fait par messages/appels externes sur Teams que l’utilisateur doit autoriser. 💬 ...

Selon DoublePulsar (29/08/2025), s’appuyant sur un rapport du NCSC des Pays‑Bas, la vulnérabilité CVE‑2025‑6543 affectant Citrix NetScaler a été activement exploitée en zero‑day depuis début mai 2025, bien avant le correctif publié fin juin. Bien que décrite par Citrix comme un simple problème de déni de service, elle permet en réalité l’exécution de code à distance (RCE) et a conduit à des compromissions étendues, notamment d’organismes gouvernementaux et de services juridiques. Citrix aurait fourni sur demande un script de vérification, sous conditions particulières, sans expliquer pleinement la situation, et le script serait incomplet. ...

Source: viuleeenz.github.io — L’auteur détaille une méthodologie de chasse aux menaces à partir d’un unique IOC issu d’un article de Unit42 sur le malware Gremlin Stealer, en s’appuyant sur VirusTotal pour relier des échantillons, extraire des indicateurs et monter en généralité sans recourir lourdement au reversing. L’analyse combine indicateurs statiques et comportementaux pour relier des échantillons: horodatage futur (2041-06-29 19:48:00 UTC), marque/copyright trompeurs (“LLC ‘Windows’ & Copyright © 2024”), et métadonnées .NET comme MVID et TypeLib ID pour le clustering. L’auteur souligne que si les caractéristiques statiques sont faciles à modifier, les contraintes comportementales le sont moins et constituent des pivots plus robustes. ...

Source: Group-IB — Recherche conjointe avec CERT-KG décrivant la campagne « ShadowSilk », active depuis 2023 et toujours en cours (observée jusqu’en juillet 2025), avec liens techniques et infrastructurels à YoroTrooper. • Vue d’ensemble: ShadowSilk vise principalement les organisations gouvernementales en Asie centrale et APAC (>35 victimes identifiées). Le groupe opère en deux sous‑équipes russo‑ et sino‑phones (développement/accès initial côté russophone, post‑exploitation/collecte côté sinophone). Après une première exposition en janvier 2025, l’infrastructure a été en partie abandonnée puis réactivée en juin 2025 avec de nouveaux bots Telegram. Une image serveur clé des attaquants a été obtenue, révélant TTPs, outils, opérateurs, captures d’écran et tests sur leurs propres machines. ...