TTP

🗓️ Contexte Source : BBC News, publié le 23 avril 2026. Le Sri Lanka a officiellement lancé une enquête après la découverte d’une cyberattaque ayant conduit au détournement de 2,5 millions de dollars (1,8 million de livres sterling) depuis les systèmes informatiques du ministère des Finances. 🎯 Nature de l’attaque Les enquêteurs estiment que les cybercriminels ont manipulé des instructions de paiement transmises par email dans le cadre du processus de règlement de la dette souveraine. Les fonds, destinés à l’Australie dans le cadre d’un remboursement bilatéral dont l’échéance était fixée à septembre 2025, ont été redirigés vers des comptes bancaires non autorisés. Le détournement aurait eu lieu en janvier 2026, mais n’a été découvert que lorsque le créancier australien a signalé ne pas avoir reçu le paiement. ...

🔍 Contexte Publié le 20 avril 2026 par LayerX Security, cet article présente les résultats d’une recherche interne sur une campagne baptisée StealTok, impliquant au moins 12 extensions navigateur malveillantes distribuées sur les marketplaces Google Chrome et Microsoft Edge. 🎯 Nature de la campagne Les extensions se présentent comme des téléchargeurs de vidéos TikTok (sans filigrane) tout en implémentant des mécanismes couverts de collecte de données et de configuration distante. Elles partagent toutes une base de code commune (Manifest V3), indiquant une opération coordonnée par un acteur unique ou un groupe étroitement coordonné. ...

🔍 Contexte Publié le 22 avril 2026 sur le forum officiel Ubuntu Community Hub, ce billet de l’équipe Ubuntu Foundations (ravi-sharma) constitue un compte-rendu de transparence sur l’adoption de rust-coreutils (uutils) comme remplacement des GNU coreutils dans Ubuntu. 📋 Processus d’audit Suite à la décision d’adopter rust-coreutils, Canonical a constitué une équipe interne (Ubuntu Foundations et Ubuntu Security) et a commandité un audit de sécurité externe indépendant auprès de la société Zellic. L’audit s’est déroulé en deux phases : ...

🔍 Contexte Publié le 22 avril 2026 par Fingerprint sur leur blog technique, cet article décrit la découverte et la divulgation responsable d’une vulnérabilité de confidentialité affectant tous les navigateurs basés sur Firefox, incluant Tor Browser. 🐛 Nature de la vulnérabilité La vulnérabilité repose sur le comportement de l’API indexedDB.databases() dans les navigateurs basés sur Gecko. En mode navigation privée, Firefox remplace les noms de bases de données par des UUID générés, stockés dans une table de hachage globale (StorageDatabaseNameHashtable) partagée entre toutes les origines. L’ordre de retour des entrées par cette API est déterminé par l’itération sur la structure interne du hash set (nsTHashSet), sans tri préalable. ...

🔍 Contexte Article publié le 1er avril 2026 sur le blog Objective-See par Pablo Redondo Castro, étudiant chercheur en sécurité macOS. L’analyse porte sur un échantillon de stealer macOS découvert sur une machine physique remise à l’analyste, probablement lié à la campagne AMOS Stealer. 🎯 Vecteur d’infection initial La compromission repose sur un vecteur ClickFix : une commande curl combinée à un décodage base64 et une exécution zsh est copiée-collée par la victime. Le domaine initial est Mac-force.squarespace.com, déjà observé dans des campagnes AMOS antérieures (Claude-docs, n8n). Un second domaine, rvdownloads.com, est utilisé pour télécharger un fichier binaire /tmp/helper. ...

🏛️ Contexte Source officielle : site du gouvernement de Nouvelle-Galles du Sud (nsw.gov.au), publication datée du 21 avril 2026. Le gouvernement australien de l’État de NSW a déclaré un incident cyber significatif à la suite d’une violation de données interne impliquant un membre du personnel du NSW Treasury. 🔍 Déroulement de l’incident La surveillance de sécurité interne a détecté un transfert suspect de documents vers un serveur externe. Les fichiers concernés contiennent des informations commerciales et financières confidentielles couvrant plusieurs départements et projets du gouvernement NSW. Le NSW Treasury a signalé l’affaire à la NSW Police le dimanche précédant la publication. La police a lancé une enquête sous le nom de Strike Force Civic, aboutissant à des inculpations criminelles dans la nuit. 📊 Impact et état de la situation Les autorités estiment que l’ensemble des données présumées volées a été localisé et sécurisé. Aucune compromission externe du système de l’agence n’a été identifiée. L’enquête policière est toujours en cours au moment de la publication. 📌 Nature de l’article Il s’agit d’une annonce d’incident officielle publiée par le gouvernement de NSW, visant à informer le public de la déclaration d’un incident cyber significatif et des mesures prises par les autorités compétentes. ...

🔍 Contexte Publié le 23 avril 2026 par Push Security, cet article analyse ConsentFix v3, un nouveau toolkit criminel diffusé sur le forum XSS (suspecté d’avoir des liens avec des acteurs étatiques russes). Il s’appuie sur une technique initialement attribuée à APT29 en décembre 2025, puis améliorée par le chercheur John Hammond (v2), et désormais reprise par des cybercriminels. ⚙️ Technique ConsentFix ConsentFix fusionne l’ingénierie sociale de type ClickFix avec le phishing de consentement OAuth. La victime est manipulée pour copier-coller (ou glisser-déposer) une URL Microsoft légitime contenant un code d’autorisation OAuth dans une page de phishing. Ce code est ensuite utilisé par l’attaquant pour s’authentifier sur une application Microsoft first-party (ex: Azure CLI) ciblant des apps avec des exclusions de Conditional Access connues. ...

🔍 Contexte Source : CrowdSec VulnTracking Report, publié le 20 avril 2026. Le réseau CrowdSec suit l’exploitation active de CVE-2026-21445, une vulnérabilité critique affectant Langflow, un outil open-source populaire (147 000 étoiles GitHub) pour la création et le déploiement d’agents IA et d’automatisation de workflows. 🐛 Vulnérabilité CVE-2026-21445 est un bypass d’authentification affectant plusieurs endpoints critiques de l’API Langflow. Des endpoints de monitoring étaient accessibles sans authentification, exposant : L’historique des conversations utilisateurs L’historique des transactions Les données de sessions de messages (supprimables sans autorisation) Les versions antérieures à 1.7.0.dev45 sont affectées. La version corrigée est 1.7.1. ...

🔍 Contexte Publié le 22 avril 2026 par l’équipe Red Team de Deutsche Telekom sur leur blog sécurité GitHub, cet article divulgue de manière coordonnée une vulnérabilité haute sévérité baptisée Pack2TheRoot, référencée CVE-2026-41651 (CVSS 3.1 : 8.8). 🎯 Nature de la vulnérabilité La vulnérabilité réside dans le démon PackageKit, une couche d’abstraction de gestion de paquets multi-distributions. Elle permet à un attaquant local non privilégié d’installer ou supprimer des paquets système sans autorisation, conduisant à une élévation de privilèges complète (root). ...

🗓️ Contexte Source : BleepingComputer — Article publié le 20 avril 2026. L’incident concerne le site web officiel de Seiko USA, dont la section « Press Lounge » a été remplacée par un message de défacement revendiquant un vol de données et exigeant une rançon. 🎯 Nature de l’attaque Les attaquants affirment avoir compromis le backend Shopify de Seiko USA et téléchargé l’intégralité de la base de données clients. Le site a été défacé pour afficher un message d’extorsion intitulé « HACKED », visible par tous les visiteurs. ...