TTP

Selon SCYTHE (référence: scythe.io), le groupe anglophone Scattered Spider est passé d’arnaques de SIM swapping menées par des adolescents à des opérations de ransomware sophistiquées visant des organisations majeures au Royaume‑Uni et aux États‑Unis, notamment dans le retail, l’hôtellerie et la finance. Leurs attaques s’appuient sur une ingénierie sociale avancée pour manipuler les équipes de support IT et sur l’abus d’outils administratifs légitimes. L’analyse souligne le besoin de protocoles stricts côté help desk, de formations et d’une surveillance accrue des comptes à privilèges et des outils de gestion à distance. ...

Source: Trend Micro (analyse publiée le 9 septembre 2025). Le rapport couvre une campagne d’août 2025 menée par le groupe ransomware émergent The Gentlemen, caractérisée par des outils adaptatifs et des contournements ciblés des protections d’entreprise. Les secteurs les plus touchés sont la manufacture, la construction, la santé et l’assurance, avec un fort focus Asie‑Pacifique (notamment Thaïlande) et les États‑Unis (17 pays affectés). Chaîne d’attaque et mouvements: l’accès initial est attribué avec probabilité à l’exploitation de services exposés ou à des identifiants compromis. Des indices montrent la compromission d’un compte administrateur FortiGate et d’un serveur FortiGate accessible depuis Internet. La découverte réseau s’appuie sur Advanced IP Scanner et des scripts batch (ex. “1.bat”) pour l’énumération massive des comptes/groupes Active Directory. La latéralisation utilise PsExec, l’affaiblissement des paramètres d’authentification via modifications du Registre, et la persistance via AnyDesk. Des scans internes sont réalisés avec Nmap; un usage de PuTTY/SSH est également évoqué. ...

Source : Natto Thoughts (Substack) — Cette analyse s’appuie sur un avis de cybersécurité conjoint et identifie trois entreprises chinoises impliquées dans le soutien aux opérations de l’APT Salt Typhoon, ciblant l’infrastructure télécom et gouvernementale mondiale. L’étude met en avant trois entités : Sichuan Juxinhe (évaluée comme société écran), Beijing Huanyu Tianqiong (probablement société écran) et Sichuan Zhixin Ruijie (présentée comme contractant légitime). Elles auraient fourni des capacités cyber aux services de renseignement chinois, notamment le contrôle de routeurs réseau, l’analyse de trafic et des outils d’accès à distance. ...

Source: Huntress (billet de blog). Contexte: Huntress explique qu’un acteur de menace a lancé un essai et installé l’agent EDR sur sa propre machine, permettant à l’équipe SOC d’observer directement ses activités et d’alimenter des détections, tout en rappelant le cadre de transparence et de confidentialité associé à la télémétrie EDR. Huntress a identifié que l’hôte était malveillant en corrélant un nom de machine déjà vu sur plusieurs incidents et des signaux de comportement suspect. L’analyse a relié l’infrastructure primaire de l’adversaire (hébergée sur l’AS « 12651980 CANADA INC. », désormais VIRTUO) à un schéma d’accès touchant plus de 2 471 identités sur deux semaines, avec des activités incluant la création de règles mail malveillantes et le vol/rafraîchissement de tokens de session. Des chasses rétroactives ont aussi révélé 20 identités compromises supplémentaires, plusieurs déjà accédées avant le déploiement de Huntress. ...

Selon Trend Micro, des cybercriminels et acteurs étatiques détournent les fonctionnalités légitimes de Microsoft Power Automate pour mener des opérations discrètes, profitant de l’essor de l’automatisation et de lacunes de visibilité dans les environnements Microsoft 365. • Constat principal : des fonctionnalités natives et connecteurs de Power Automate sont utilisées pour des activités de Living off the Land, facilitant la fuite de données, la persistance, le contournement des contrôles, le Business Email Compromise (BEC), le soutien à des campagnes de ransomware et des opérations d’espionnage. ...

Source: Trend Micro (Trend Research), septembre 2025. Dans une analyse MDR, l’éditeur décrit une campagne diffusant Atomic macOS Stealer (AMOS) qui cible les utilisateurs macOS via des sites de « crack » et des pages d’installation trompeuses, avec rotation agressive de domaines et exfiltration HTTP(S). • Distribution et contournements. Les assaillants déguisent AMOS en faux installeurs (.dmg) de logiciels populaires « crackés » ou incitent les victimes à copier-coller des commandes dans le Terminal (curl vers un script install.sh). Les .dmg non notarés sont bloqués par Gatekeeper sur macOS Sequoia 15.5/15.6, mais la méthode Terminal obtient un taux de succès élevé. Le kit emploie une rotation de domaines/URLs (redirecteurs .cfd, pages d’atterrissage et hôtes de charge utile) pour éviter les détections statiques et retarder les takedowns. ...

Selon VirusTotal cité par BleepingComputer, une campagne de phishing exploite des fichiers SVG pour générer de faux portails imitant le système judiciaire colombien, dans le but de distribuer des logiciels malveillants. Le cœur de la menace repose sur des fichiers SVG contenant du contenu malveillant qui, une fois rendus, génèrent des portails factices très convaincants 🎣. Ces pages usurpent l’identité du système judiciaire de Colombie (🇨🇴) afin d’induire les victimes en erreur et de livrer des malwares. TTPs observés: ...

Selon CYFIRMA (publication de recherche), Salat Stealer, aussi nommé WEB_RAT, est un infostealer sophistiqué écrit en Go ciblant Windows, opéré sous un modèle Malware-as-a-Service par des acteurs russophones. • Capacités et cibles: Le malware vole des identifiants de navigateurs (Chrome, Edge, Firefox, Opera), des données de portefeuilles crypto (Coinomi, Exodus, Electrum) et des sessions utilisateur, avec exfiltration vers ses serveurs C2 via UDP et HTTPS. • Persistance et évasion: Binaire UPX-packé, persistance par clés Run du registre et tâches planifiées, mascarade de processus (ex. Lightshot.exe). Il intègre des fonctions anti‑analyse incluant exclusions Windows Defender, bypass UAC et désactivation de WinRE. ...

Selon BleepingComputer, des attaquants abusent des invitations iCloud Calendar pour expédier des emails de phishing “callback” déguisés en notifications d’achat, en s’appuyant sur les serveurs d’email d’Apple afin d’augmenter les chances de contournement des filtres anti-spam et d’atteindre la boîte de réception des cibles. Ces envois prennent la forme d’invitations de calendrier iCloud, qui arrivent sous couvert de notifications légitimes et miment des achats afin d’inciter les victimes à appeler un numéro (callback) ou à interagir. ...

Selon Socket (blog de recherche), l’équipe Threat Research a identifié une attaque coordonnée de la chaîne d’approvisionnement via quatre paquets npm se faisant passer pour des utilitaires crypto et Flashbots, visant les développeurs Web3, les chercheurs MEV et les opérateurs DeFi, avec un risque de pertes financières immédiates et irréversibles. — Détails clés — Type d’attaque : supply chain sur l’écosystème npm avec usurpation d’outils légitimes (crypto/Flashbots). Cible : développeurs Web3, MEV searchers, opérateurs DeFi. Impact : vol d’identifiants et de clés privées de portefeuilles, exfiltrés vers une infrastructure Telegram contrôlée par l’attaquant. — Vecteurs et techniques — ...