TTP

Selon un billet publié le 24 août 2025, un chercheur décrit une attaque « SpAIware » contre Windsurf Cascade exploitant la prompt injection et la persistance en mémoire pour exfiltrer des données de façon continue. Windsurf Cascade est une fonctionnalité intégrée à l’éditeur de code Windsurf (basé sur Visual Studio Code) qui s’appuie sur l’intelligence artificielle pour assister les développeurs. L’article explique que Windsurf Cascade dispose d’un outil interne « create_memory » qui est invqué automatiquement sans approbation humaine. Cette conception permet à un attaquant, via une prompt injection indirecte (par exemple dans un commentaire de code C, un ticket GitHub ou une page web), de persister des instructions malveillantes dans la mémoire à long terme de l’agent. L’impact revendiqué couvre la confidentialité, l’intégrité et la disponibilité des futures conversations. ...

Source: Cisco Talos — Dans un billet signé par Sara McBroom, Talos détaille une campagne d’espionnage étatique menée par le groupe russe Static Tundra, actif depuis plus d’une décennie et lié au FSB (Center 16), visant des équipements réseau Cisco non patchés pour des accès persistants et la collecte de renseignements. Le groupe exploite agressivement depuis au moins 2021 la vulnérabilité CVE-2018-0171 dans la fonctionnalité Smart Install (Cisco IOS/IOS XE), patchée en 2018 mais encore présente sur des équipements non mis à jour ou en fin de vie. Les cibles prioritaires sont les télécoms, l’enseignement supérieur et la fabrication en Amérique du Nord, Asie, Afrique et Europe, avec une intensification notable contre l’Ukraine depuis le début de la guerre. Static Tundra récupérerait les configurations pour des usages ultérieurs, en fonction des priorités stratégiques russes. ...

Selon Hackread.com (18 août 2025), un acteur de menace se présentant comme « Chucky_BF » propose sur un forum cybercriminel un lot baptisé « Global PayPal Credential Dump 2025 » comprenant plus de 15,8 millions de paires email:mot de passe (en clair), assorties d’URLs liées aux services PayPal. Le vendeur affirme que le dump (environ 1,1 Go) couvre des comptes à l’échelle mondiale (Gmail, Yahoo, Hotmail, domaines pays), avec des entrées raw email:password:url. Les échantillons montreraient des adresses Gmail associées à des mots de passe et pointant vers des endpoints PayPal tels que /signin, /signup, /connect, ainsi que des URIs Android, suggérant une structuration qui faciliterait l’automatisation de connexions et l’abus de services. Certains comptes apparaissent en formats web et mobile. 💳 ...

Selon Ashes Cybersecurity (billet de recherche du 21 août 2025), une vulnérabilité 0‑day dans le pilote kernel « elastic-endpoint-driver.sys » d’Elastic EDR permettrait une chaîne d’attaque complète aboutissant à un bypass EDR, de la RCE, de la persistance et un DoS privilégié provoquant un BSOD sur les hôtes protégés. Le chercheur décrit une chaîne en quatre étapes: 1) contournement d’Elastic Agent/Elastic Defend via un loader C maison, 2) exécution de code à faible privilège sans détection, 3) persistance par chargement d’un pilote personnalisé interagissant avec « elastic-endpoint-driver.sys », 4) DoS persistant où le pilote d’Elastic adopte un comportement de type malveillant et peut rendre le système inutilisable 🚫. ...

Source: Microsoft Threat Intelligence et Microsoft Defender Experts — billet technique détaillant, avec exemples et IOCs, l’essor de la technique d’ingénierie sociale « ClickFix » observée depuis 2024. • ClickFix insère une étape d’« interaction humaine » dans la chaîne d’attaque via des pages d’atterrissage qui miment des vérifications (CAPTCHA, Cloudflare Turnstile, faux sites officiels). Les victimes copient-collent puis exécutent elles‑mêmes des commandes dans Win+R, Terminal ou PowerShell. Les charges livrées incluent des infostealers (Lumma, Lampion), des RATs (Xworm, AsyncRAT, NetSupport, SectopRAT), des loaders (Latrodectus, MintsLoader) et des rootkits (r77 modifié). Beaucoup d’exécutions sont fileless et s’appuient sur des LOLBins (powershell.exe, mshta.exe, rundll32.exe, msbuild.exe, regasm.exe). ...

Source et contexte: Recherche publiée par Marek Tóth (présentée à DEF CON 33), initialement le 9 août 2025 et mise à jour le 20 août 2025, portant sur une nouvelle technique de clickjacking ciblant les interfaces injectées par des extensions de navigateur. La recherche décrit une nouvelle technique générale de DOM-based Extension Clickjacking: un script malveillant rend invisibles (opacity/pointer-events/overlays/Popover API) les éléments d’UI injectés par les extensions dans le DOM, tout en restant cliquables. Testée sur 11 gestionnaires de mots de passe, la méthode a montré que tous étaient vulnérables à ce type d’attaque (et certains aussi à la variante IFRAME via web_accessible_resources mal configurés). ...

Selon Hunt.io (billet du 20 août 2025, avec recoupements Trellix), une campagne sophistiquée attribuée à APT MuddyWater cible des directeurs financiers sur plusieurs continents via des leurres hébergés sur Firebase/Web.app, des scripts VBS et l’abus d’outils légitimes pour maintenir un accès persistant. • Panorama de l’attaque 🎯: Des e‑mails d’hameçonnage ciblé se faisant passer pour un recruteur de Rothschild & Co mènent vers des pages Firebase avec CAPTCHA/maths et redirections AES chiffrées. La chaîne d’infection déploie des scripts VBS, livre des charges additionnelles depuis une infrastructure contrôlée et installe NetBird et OpenSSH afin d’établir une persistance et un contrôle à distance. Les opérateurs abusent également d’outils légitimes comme AteraAgent.exe. Des recoupements d’IoC, d’infrastructure et de TTPs alignent cette activité avec APT MuddyWater. ...

Selon Push (recherche signée par Luke Jennings), une campagne de phishing exploite un tenant Microsoft configuré avec ADFS et de la malvertising pour obtenir des redirections légitimes depuis outlook.office.com vers une page de phishing Microsoft clonée en reverse‑proxy. • Le kit observé est un classique de type Attacker‑in‑the‑Middle (AitM) clonant la page de connexion Microsoft afin d’intercepter la session et contourner la MFA. L’originalité ne vient pas de la page mais de la chaîne de redirections et de l’évasion de détection. ...

Selon Kudelski Security (blog de recherche), un enchaînement de failles dans l’intégration de Rubocop par CodeRabbit a permis d’obtenir une exécution de code à distance (RCE) sur des serveurs de production, d’exfiltrer de nombreux secrets (dont la clé privée du GitHub App CodeRabbit) et, par ricochet, d’accéder en lecture/écriture à des dépôts GitHub installés (jusqu’à 1 M de dépôts). Les correctifs ont été déployés rapidement en janvier 2025, notamment la désactivation puis l’isolation de Rubocop. ...

Source: NIST (NISTIR 8584, août 2025). Le rapport « FATE MORPH Part 4B: Considerations for Implementing Morph Detection in Operations » de Mei Ngan et Patrick Grother fournit des lignes directrices pour intégrer la détection de morphing facial dans des environnements opérationnels (émission de documents d’identité, contrôle aux frontières), en s’appuyant sur les évaluations publiques FATE MORPH et l’état de l’art des approches S‑MAD (single-image) et D‑MAD (différentielle). Le document rappelle la menace: des photos morphed peuvent permettre à plusieurs personnes d’utiliser un même titre (ex. passeport), surtout lorsque les photos sont auto‑soumisses et leur historique numérique est inconnu. Il souligne que l’amélioration des performances des détecteurs permet désormais aux agences de mettre en balance capacités, coûts de détection manquée et coûts opérationnels des faux positifs. ...