TTP

Picus Security a publié une analyse complète du groupe de ransomware Ryuk mettant en lumière leurs attaques ciblées contre des grandes organisations, notamment dans le secteur de la santé et les entités gouvernementales. L’analyse cartographie la chaîne d’attaque de Ryuk selon le cadre MITRE ATT&CK, couvrant des tactiques allant de l’accès initial par hameçonnage ciblé au mouvement latéral, l’escalade de privilèges, et l’impact final de chiffrement. Les principales découvertes incluent l’utilisation par Ryuk de techniques de chiffrement à double impact, la désactivation systématique des services de sauvegarde, et des méthodes d’évasion sophistiquées. La plateforme Picus Security Validation Platform est mise en avant pour sa capacité à simuler ces attaques afin de tester les défenses organisationnelles et identifier les failles de sécurité avant que les attaquants ne puissent les exploiter. ...

Cet article publié par Guardz analyse une méthodologie d’attaque ciblant SharePoint Online dans les environnements Microsoft 365. L’étude met en lumière comment les attaquants peuvent exploiter l’intégration étendue de SharePoint avec Graph API, Teams, OneDrive, et Power Platform pour obtenir un accès initial, maintenir une persistance, effectuer des mouvements latéraux, et exfiltrer des données. L’analyse technique détaille le cycle de vie complet de l’attaque, incluant des techniques de reconnaissance via Google dorking et l’énumération de Graph API, des méthodes d’accès initial par des malwares hébergés sur SharePoint et l’abus de jetons OAuth, des mécanismes de persistance via des flux Power Automate et des parties web cachées, ainsi que des mouvements latéraux à travers la collaboration sur des documents partagés. ...

L’analyse publiée par Unit 42 de Palo Alto Networks met en lumière les raisons pour lesquelles le groupe de menace Muddled Libra attire une attention médiatique significative par rapport à d’autres affiliés de ransomware-as-a-service. Leur playbook distinctif inclut des tactiques de social engineering sophistiquées, des vagues de ciblage spécifiques à l’industrie, et une maîtrise de l’anglais natif dans les attaques de vishing. Ces éléments contribuent à leur taux de succès élevé, avec 50% des cas récents aboutissant au déploiement du ransomware DragonForce et à l’exfiltration de données. ...

Selon Unit 42, un acteur de menace, identifié comme Storm-2603, exploite des vulnérabilités SharePoint à travers un ensemble d’activités nommé CL-CRI-1040. Ce groupe utilise un outil de malware sophistiqué appelé Project AK47, démontrant une motivation financière. Le malware Project AK47 comprend plusieurs composants, notamment le cheval de Troie AK47C2 qui utilise les protocoles DNS et HTTP pour communiquer, ainsi que le rançongiciel AK47/X2ANYLOCK qui emploie le chiffrement AES/RSA et ajoute l’extension .x2anylock aux fichiers compromis. Le malware intègre des mécanismes de chargement de DLL et utilise une clé XOR codée en dur ‘VHBD@H’. ...

SpyCloud a analysé un jeu de données recirculé provenant d’une fuite de données de la base de données de la police nationale de Shanghai, qui contient plus de 104 millions de numéros d’identification nationaux chinois uniques. Cette fuite affecte environ 7,4 % de la population chinoise et met en lumière comment ces numéros, qui contiennent des informations intégrées telles que le lieu de naissance, la date de naissance et le sexe, peuvent être exploités par des acteurs malveillants pour des attaques de social engineering et des fraudes à l’identité. ...

Cet article de cybersecurity-blog met en lumière une nouvelle menace cybernétique orchestrée par le groupe parrainé par l’État nord-coréen, Famous Chollima, une sous-division du groupe Lazarus. PyLangGhost RAT, une évolution en Python de GoLangGhostRAT, est déployé via des campagnes de social engineering sophistiquées, notamment des faux entretiens d’embauche et des scénarios ‘ClickFix’. Ce malware cible spécifiquement les secteurs de la technologie, de la finance et des cryptomonnaies. Le RAT est conçu pour voler des données de portefeuille de cryptomonnaie et des identifiants de navigateur, tout en établissant un accès à distance persistant. Bien que les taux de détection soient faibles (0-3 sur VirusTotal), des outils d’analyse comportementale peuvent identifier la menace grâce à ses schémas de communication et ses chaînes d’exécution. ...

L’article de Unit42 de Palo Alto Networks met en lumière une technique d’élévation de privilèges critique nommée BadSuccessor, ciblant les environnements Windows Server 2025. Cette technique exploite les comptes de service gérés délégués (dMSA) pour compromettre les domaines Active Directory. Les attaquants peuvent manipuler les attributs des dMSA pour se faire passer pour n’importe quel utilisateur de domaine, y compris les administrateurs de domaine, en créant des objets dMSA malveillants et en modifiant des attributs spécifiques pour simuler des migrations de comptes terminées. Cette vulnérabilité non corrigée nécessite uniquement des permissions standard d’utilisateur de domaine avec des droits d’accès spécifiques aux unités organisationnelles, ce qui la rend particulièrement dangereuse. ...

L’article provient de The DFIR Report et décrit une campagne sophistiquée exploitant le SEO poisoning pour distribuer des outils de gestion IT trojanisés, permettant l’installation du malware Bumblebee et du ransomware Akira. L’attaque commence par des résultats de recherche Bing empoisonnés qui redirigent vers des sites malveillants hébergeant des installateurs MSI trojanisés. Ces fichiers MSI déploient le malware Bumblebee via msimg32.dll en utilisant consent.exe, établissant des communications C2 avec des domaines DGA. ...

L’analyse du deuxième trimestre 2025 par FortiGuard Labs met en lumière les risques significatifs de sécurité de la chaîne d’approvisionnement posés par des paquets malveillants dans les dépôts open source. Les chercheurs ont analysé plus de 1,4 million de paquets NPM et 400 000 paquets PyPI, identifiant des schémas d’attaque persistants tels que l’exfiltration de données, le vol d’identifiants et le ciblage de portefeuilles de cryptomonnaies. Les acteurs malveillants utilisent des tactiques constantes, y compris la réduction du nombre de fichiers, l’utilisation de scripts d’installation et des techniques d’obfuscation. ...

L’Internet Storm Center rapporte qu’Apple a récemment publié des mises à jour pour iOS, iPadOS, macOS, watchOS, tvOS, et visionOS. Ces mises à jour incluent des correctifs pour un total de 89 vulnérabilités. Bien que la plupart des vulnérabilités soient liées à des problèmes de déni de service et de corruption de mémoire, certaines concernent des escalades de privilèges et des évasions de sandbox. Les descriptions fournies par Apple restent vagues, mais certaines vulnérabilités notables incluent la possibilité pour une application de lire un identifiant de périphérique persistant (CVE-2025-24220) ou d’exécuter du code arbitraire en dehors de son sandbox (CVE-2025-24119). ...