TTP

Selon Huntress (blog), des chercheurs ont identifié un nouveau variant de ransomware, nommé ‘Obscura’, qui exploite les partages NETLOGON des contrôleurs de domaine pour une distribution automatique à l’échelle des réseaux d’entreprise. Ce variant s’inscrit dans une tendance d’émergence de nouvelles souches après les perturbations récentes des opérations de ransomware établies. Points techniques clés 🔍 Langage/plateforme : binaire compilé en Go ; vérifie la présence de privilèges administrateur avant exécution ; comportement modulé via la variable d’environnement DAEMON. Chiffrement : échange de clés Curve25519 avec XChaCha20 ; ajoute un pied de page de 64 octets contenant la signature ‘OBSCURA!’, la clé publique et le nonce ; conserve la fonctionnalité système en excluant 15 extensions de fichiers. Évasion/désactivation : termine 120 processus prédéfinis visant notamment des outils de sécurité et des bases de données ; supprime les copies d’ombre (VSS). Propagation : mise en place de tâches planifiées exécutées depuis les partages NETLOGON des contrôleurs de domaine 🖥️. Impact et portée 🔐 ...

Source: G DATA CyberDefense (blog) — Analyse technique signée Karsten Hahn et Louis Sorita. Contexte: des sites très bien référencés poussent un faux éditeur PDF « AppSuite » dont le composant principal embarque un backdoor complet. Les opérateurs diffusent un installeur MSI (WiX) qui déploie une application Electron se présentant comme un éditeur PDF. Le code principal (pdfeditor.js) est fortement obfusqué et contient le backdoor; l’interface n’est qu’une fenêtre navigateur vers un site contrôlé. Un user-agent spécifique est requis pour afficher l’outil. ...

Source: Medium — Le chercheur Mehrun publie une analyse détaillée d’une zero-day signalée à TP-Link le 11 mai 2024 et toujours non corrigée au moment de la publication, affectant l’implémentation CWMP/TR-069 de plusieurs routeurs, dont les Archer AX10 et AX1500. ⚠️ Vulnérabilité et cause racine: L’étude décrit un dépassement de pile (stack-based buffer overflow) dans une fonction du composant CWMP qui traite les messages SOAP SetParameterValues. Une taille dérivée des données d’entrée est utilisée directement dans une copie mémoire sans contrôle strict des limites vers un tampon de pile, ouvrant la voie à une exécution de code à distance (RCE). ...

Selon KrebsOnSecurity, une compromission majeure de la plateforme de chatbot IA Drift (Salesloft) a conduit au vol de jetons d’authentification utilisés par des centaines d’intégrations tierces, facilitant une vaste campagne d’exfiltration menée par l’acteur UNC6395. • Impact et portée: des jetons permettant l’accès à Salesforce, Google Workspace, Slack, Amazon S3, Microsoft Azure et OpenAI ont été dérobés. Les organisations utilisant les intégrations Salesloft sont appelées à invalider immédiatement tous les jetons stockés et à partir du principe que leurs données sont compromises. L’incident met en lumière le risque d’‘authorization sprawl’, où des jetons légitimes permettent de circuler sans entraves entre systèmes cloud. ...

Cette analyse de Kaspersky (securelist) examine en profondeur le rôle des cookies de navigateur comme composants de sécurité et montre comment les cookies de session contenant des Session IDs deviennent des cibles majeures. Le contenu couvre les types de cookies, les exigences de conformité (GDPR, CCPA, LGPD), et comment une mauvaise gestion peut exposer des identifiants d’authentification et des données personnelles. L’étude détaille plusieurs vecteurs d’attaque : session hijacking, XSS, CSRF, et man-in-the-middle. Sur le plan technique, elle décrit la capture de session via HTTP non chiffré, le vol de cookies par injection JavaScript malveillante (XSS), la session fixation avec des Session IDs prédéfinis, ainsi que le cookie tossing exploitant des vulnérabilités de sous-domaine. ...

Source: Optiv (référence citée). Contexte: analyse de sécurité des NAS d’entreprises (QNAP, Synology, Zyxel) et cartographie des techniques d’attaque selon MITRE ATT&CK. Le rapport identifie les NAS comme des cibles prioritaires pour des groupes ransomware et opérateurs de botnets, en raison de leur rôle central dans le stockage des données. Il met en avant une exploitation rapide (≤72 h) des vulnérabilités divulguées et l’émergence de souches de ransomware spécialisées visant spécifiquement les environnements NAS. ...

Source : Sekoia (blog) — Le rapport dresse une vue d’ensemble 2010‑2025 de l’écosystème des vendeurs de surveillance commerciale (CSV), montrant comment des entreprises privées conçoivent et vendent des spyware à des clients gouvernementaux, malgré des crises de légitimité et des sanctions. Le document met en avant l’évolution des CSV qui continuent de prospérer via rebranding, structures corporatives complexes et méthodes d’attaque de plus en plus sophistiquées. Il souligne les risques systémiques pour la société civile, les journalistes et les activistes à l’échelle mondiale. ...

Source : watchTowr Labs. Contexte : les chercheurs décrivent comment ils ont observé et reproduit l’exploitation active de CVE-2025-54309 affectant CrushFTP, listée dans le CISA KEV le 22 juillet 2025, et permettant un accès administrateur via HTTPS lorsque la fonctionnalité proxy DMZ n’est pas utilisée. • Vulnérabilité et impact. La faille touche « CrushFTP 10 avant 10.8.5 » et « 11 avant 11.3.4_23 » et provient d’une mauvaise gestion de la validation AS2. Exploitée en juillet 2025, elle permet d’obtenir des privilèges administrateur (ex. l’utilisateur intégré crushadmin), entraînant un contrôle total du serveur (création/lecture de fichiers sensibles). Le billet souligne l’ampleur potentielle avec plus de 30 000 instances exposées. ...

Selon Nextron Systems, une campagne sophistiquée attribuée à APT36, rappelant les tactiques d’Operation Sindoor, vise des organisations indiennes via des pièces jointes .desktop piégées se faisant passer pour des PDF, afin de prendre le contrôle à distance de systèmes Linux. • Nature de l’attaque 🎣: des e‑mails de spear‑phishing livrent des fichiers .desktop malveillants qui déclenchent une infection en plusieurs étapes, aboutissant à l’installation de MeshAgent pour un accès à distance complet, la surveillance et l’exfiltration de données. ...

Selon AWS (aws.amazon.com), l’équipe Threat Intelligence d’Amazon a identifié et neutralisé une campagne de watering hole menée par APT29/Midnight Blizzard (associé au SVR russe). Des sites légitimes compromis redirigeaient une fraction des visiteurs vers des domaines imitant des pages de vérification Cloudflare, afin de les amener à valider des appareils contrôlés par l’attaquant via le flux d’authentification Microsoft par code d’appareil. AWS précise qu’aucun système AWS n’a été compromis et qu’aucun impact direct sur ses services n’a été observé. ...