TTP

Selon Flashpoint (billet de blog), Scattered Spider est un collectif de cybercriminels principalement composé de jeunes adultes US/UK qui s’impose par des campagnes sophistiquées d’ingénierie sociale et des opérations de ransomware en double extorsion. Le groupe cible notamment les secteurs des services financiers, de la restauration et du retail, avec des attaques menées par vagues, misant davantage sur les faiblesses humaines que purement techniques. Leur chaîne d’attaque commence par de la social engineering (MITRE ATT&CK T1566) — vishing 📞, smishing, et attaques d’épuisement MFA — pour obtenir un accès initial, suivi de collecte d’identifiants à l’aide d’info-stealers comme Raccoon et Vidar. Ils abusent d’outils RMM légitimes (TeamViewer, AnyDesk, ScreenConnect) pour la persistance et les mouvements latéraux, et déploient des malwares personnalisés tels que Spectre RAT 🕷️, tout en s’appuyant sur des VPN/proxys cloud pour masquer leur infrastructure. ...

Selon BleepingComputer, une nouvelle campagne exploite un caractère Unicode pour rendre des liens de phishing visuellement similaires à des URL légitimes de Booking.com. Les attaquants utilisent le caractère japonais hiragana ん, qui peut, sur certains systèmes, s’afficher comme un slash, donnant l’illusion d’une structure d’URL authentique. Cette astuce vise à tromper l’utilisateur au premier coup d’œil 🎣🔤. L’objectif est d’amener les victimes à cliquer sur des liens qui paraissent fiables afin de distribuer des logiciels malveillants. L’usurpation de la marque Booking.com est au cœur de la supercherie. ...

Selon Cofense, une nouvelle campagne de rançongiciel exploite des comptes expéditeur compromis pour distribuer LeeMe en se faisant passer pour des outils légitimes SAP Ariba. Les victimes reçoivent des liens vers des archives protégées par mot de passe hébergées sur GoFile et sont induites en erreur par une fausse interface d’installation SAP Ariba et des instructions incitant à désactiver les protections de sécurité. Le malware combine plusieurs capacités offensives : chiffrement AES-256 de plus de 35 types de fichiers avec extensions aléatoires, keylogging (via la bibliothèque pynput), collecte d’identifiants à partir de fichiers contenant des mots-clés sensibles, et mécanismes de persistance (entrées d’exécution automatique et tâches planifiées). Il met aussi en œuvre un contournement de Windows Defender et la mise en place d’accès à distance via serveurs SSH/WINRM. ...

Source : Cymulate (blog) — Dans un billet signé Ruben Enkaoua (12 août 2025), Cymulate Research Labs détaille CVE-2025-50154, une vulnérabilité zero‑click de fuite d’identifiants NTLM qui contourne le correctif Microsoft de CVE-2025-24054 et affecte des systèmes entièrement patchés. • Découverte et portée. La nouvelle faille CVE-2025-50154 permet de déclencher une authentification NTLM sans interaction utilisateur et d’extraire des empreintes NTLMv2 sur des machines à jour. Le chercheur montre qu’en exploitant un angle mort du correctif d’avril, un attaquant peut provoquer des requêtes NTLM automatiques et s’en servir pour du craquage hors‑ligne ou des attaques par relais (NTLM relay), ouvrant la voie à élévation de privilèges, mouvements latéraux et potentielle RCE. ...

Selon Darktrace, une campagne multi‑phases cible les appliances FortiGate via trois vulnérabilités critiques SSL‑VPN permettant une exécution de code à distance sans authentification, avec un enchaînement allant de la compromission initiale à l’escalade de privilèges et à l’accès RDP. • Vulnérabilités exploitées et impact: les failles CVE‑2022‑42475 et CVE‑2023‑27997 (dépassement de tampon sur le tas) et CVE‑2024‑21762 (écriture hors limites dans le démon sslvpnd) sont utilisées pour obtenir une RCE sans authentification sur FortiOS SSL‑VPN et accéder de façon non autorisée à des FortiGate. ...

Selon foreignaffairs.com, Anne Neuberger soutient que la Chine a pris un net avantage dans l’espace cyber, illustré par l’opération « Salt Typhoon » contre des opérateurs télécoms américains, et plaide pour une nouvelle stratégie de dissuasion américaine fondée sur des défenses alimentées par l’IA et des capacités offensives clairement signalées. — Salt Typhoon et portée de la menace — • L’opération « Salt Typhoon » a permis à des acteurs liés à l’État chinois de pénétrer profondément des réseaux télécoms américains, de copier des conversations et de bâtir une capacité de suivi des déplacements d’agents du renseignement et des forces de l’ordre. L’ampleur complète de l’accès obtenu resterait incertaine. • Au-delà de l’espionnage télécoms, des malwares chinois ont été découverts dans des systèmes d’énergie, d’eau, d’oléoducs et de transport aux États-Unis, suggérant un prépositionnement pour sabotage visant à perturber la vie quotidienne et les opérations militaires en cas de crise. ...

Le CERT Coordination Center (SEI/Carnegie Mellon) publie la Vulnerability Note VU#767506 (mise en ligne le 2025-08-13, révisée le 2025-08-14) décrivant « MadeYouReset » (CVE-2025-8671), une vulnérabilité affectant de nombreuses implémentations HTTP/2 et permettant des attaques par déni de service au moyen de frames de contrôle. Des CVE spécifiques à certains produits existent, comme CVE-2025-48989 pour Apache Tomcat. 🚨 La vulnérabilité repose sur un décalage entre la spécification HTTP/2 et l’architecture interne de nombreux serveurs : après qu’un flux est annulé (reset), des implémentations continuent à traiter la requête et à calculer la réponse sans l’envoyer. Un attaquant peut provoquer des resets de flux côté serveur à l’aide de frames malformées ou d’erreurs de contrôle de flux, créant un écart entre le comptage des flux HTTP/2 (qui les considère fermés) et le nombre réel de requêtes HTTP encore en traitement en backend. Résultat : un nombre non borné de requêtes peut être traité sur une seule connexion, menant à une surcharge CPU ou une épuisement mémoire et donc à un DoS/DDoS. La faille est similaire à CVE-2023-44487 (« Rapid Reset »), mais ici l’abus exploite des resets déclenchés côté serveur. ...

Source : Gal Bar Nahum’s Blog — Le 13 août 2025, le chercheur Gal Bar Nahum a dévoilé « MadeYouReset » (CVE‑2025‑8671), une vulnérabilité HTTP/2 de type déni de service qui exploite les mécanismes de contrôle de flux/erreurs du protocole pour contourner les limites de concurrence, en collaboration avec Prof. Anat Bremler‑Barr et Yaniv Harel (Université de Tel-Aviv), avec le soutien partiel d’Imperva. 🛑 Principe clé: MadeYouReset s’appuie sur l’idée de « Rapid Reset » (2023) mais avec un twist: au lieu que le client annule la requête, l’attaquant provoque des erreurs de flux afin que le serveur émette un RST_STREAM après le démarrage d’une requête valide. Comme les flux réinitialisés ne comptent plus dans MAX_CONCURRENT_STREAMS, le serveur poursuit souvent le travail backend (calcul de réponse) malgré la fermeture du flux côté HTTP/2, ce qui permet de créer un nombre non borné de travaux concurrents et d’induire un DoS. ...

Selon Chainalysis, l’OFAC americaine a sanctionné plusieurs entités associées au réseau de stablecoin A7A5 lié au rouble, dont la société kirghize Old Vector et l’exchange Grinex. Le jeton est garanti par des dépôts au sein de la banque russe sanctionnée Promsvyazbank (PSB) et s’inscrit dans un effort systématique visant à bâtir une infrastructure financière alternative pour contourner les sanctions via les mixeurs crypto. Sur le plan technique, A7A5 opère sur les blockchains Tron et Ethereum. L’analyse on-chain met en évidence des connexions directes entre les exchanges sanctionnés Garantex et Grinex à travers des transferts de tokens et une infrastructure partagée. Le DEX A7A5 permet des échanges vers des stablecoins grand public, créant des ponts vers l’écosystème crypto plus large 🔗. ...

Selon TRM Labs, l’OFAC (U.S. Treasury) a sanctionné des figures clés derrière l’échange crypto Garantex, son successeur Grinex, ainsi que le jeton A7A5 adossé au rouble, utilisé pour contourner les sanctions. L’enquête révèle une planification avancée : Grinex a été établi au Kirghizstan des mois avant le démantèlement de Garantex en mars 2025, et le réseau a facilité des centaines de millions de dollars de transactions illicites, dont des produits de ransomware (Conti, LockBit, Ryuk) et des flux provenant de darknet markets. ...