TTP

ESET Research a publié une analyse détaillée des opérations de cyberespionnage menées par le groupe Gamaredon en 2024, ciblant exclusivement les institutions gouvernementales ukrainiennes. Cette analyse met en lumière l’évolution des outils et des techniques utilisées par ce groupe aligné sur les intérêts géopolitiques russes. Gamaredon a intensifié ses campagnes de spearphishing en 2024, en augmentant l’échelle et la fréquence des attaques. Ils ont utilisé de nouvelles méthodes de livraison, telles que des hyperliens malveillants et des fichiers LNK exécutant des commandes PowerShell à partir de domaines hébergés par Cloudflare. Six nouveaux outils malveillants ont été introduits, axés sur la furtivité, la persistance et le mouvement latéral. ...

Trustwave SpiderLabs a publié une analyse reliant avec une haute confiance le groupe de menaces Blind Eagle, également connu sous le nom de APT-C-36, au fournisseur russe d’hébergement à toute épreuve Proton66. Ce groupe cible activement les organisations en Amérique latine, en mettant un accent particulier sur les institutions financières colombiennes. L’analyse a révélé que Blind Eagle utilise une infrastructure caractérisée par des interconnexions fortes entre plusieurs domaines et clusters d’adresses IP, exploitant des fichiers Visual Basic Script (VBS) comme vecteur d’attaque initial. Ces scripts servent de chargeurs pour des outils de seconde étape, notamment des Trojans d’accès à distance (RATs) disponibles publiquement. ...

L’actualité provient d’une analyse de sécurité par Okta concernant l’utilisation d’outils d’IA pour créer des sites de phishing. Okta a observé l’utilisation d’un outil d’IA, v0.dev, pour construire des sites de phishing hébergés sur l’infrastructure de Vercel. Les acteurs malveillants hébergent souvent tous les éléments d’un site de phishing sur une plateforme de confiance pour rendre le site plus légitime et échapper à la détection. Vercel a pris des mesures pour restreindre l’accès aux sites de phishing identifiés et collabore avec Okta pour signaler d’autres infrastructures de phishing. Cette activité montre que les acteurs de la menace expérimentent et utilisent des outils d’IA générative pour améliorer leurs capacités de phishing. ...

Cet article publié par Avi Lumelsky sur Oligo Security Research met en lumière une vulnérabilité critique d’exécution de code à distance (RCE) identifiée dans le MCP Inspector d’Anthropic. Cette faille, référencée sous le code CVE-2025-49596, a un score CVSS de 9.4, indiquant son niveau de gravité élevé. La vulnérabilité permet à des attaquants de réaliser des attaques basées sur le navigateur en exploitant des failles de rebinding DNS et de configuration par défaut non sécurisée. En visitant un site web malveillant, un développeur utilisant MCP Inspector pourrait voir son système compromis, permettant à un attaquant d’exécuter des commandes arbitraires, de voler des données, ou d’installer des portes dérobées. ...

Cet article, rédigé par Dave Cossa, un opérateur senior en red teaming chez X-Force Adversary Services, explore les vulnérabilités potentielles d’Azure Arc, un service de Microsoft permettant la gestion de ressources hybrides. Azure Arc est conçu pour étendre les capacités de gestion natives d’Azure à des ressources non-Azure, telles que des systèmes sur site et des clusters Kubernetes. Cependant, des mauvais configurations dans son déploiement peuvent permettre une escalade de privilèges et l’utilisation d’un Service Principal surprovisionné pour exécuter du code. ...

L’actualité publiée par Koi Security révèle une campagne malveillante de grande envergure impliquant plus de 40 extensions Firefox falsifiées, conçues pour voler les identifiants de portefeuilles de cryptomonnaie. Ces extensions se font passer pour des outils légitimes de plateformes populaires comme Coinbase, MetaMask, et Trust Wallet. Les extensions malveillantes, une fois installées, exfiltrent discrètement les secrets des portefeuilles vers un serveur distant contrôlé par l’attaquant, mettant ainsi en danger immédiat les actifs des utilisateurs. La campagne, active depuis au moins avril 2025, continue de sévir avec de nouvelles extensions malveillantes régulièrement ajoutées à la boutique Firefox Add-ons. ...

L’article publié par Dennis Heinze et Frieder Steinmetz le 26 juin 2025 met en lumière des vulnérabilités critiques découvertes dans les appareils audio Bluetooth utilisant les SoCs Airoha. Ces vulnérabilités ont été présentées lors de la conférence TROOPERS. Les appareils concernés, tels que les casques et écouteurs Bluetooth, exposent un protocole personnalisé permettant la manipulation du dispositif, notamment la lecture et l’écriture en mémoire RAM et flash. Ces failles sont accessibles via Bluetooth sans nécessiter d’authentification, rendant possible la compromission des appareils à portée de Bluetooth. ...

L’article de Silent Push, publié le 2 juillet 2025, révèle les détails d’une campagne de phishing orchestrée par un groupe de menaces, soupçonné d’être basé en Chine, visant à usurper l’identité de marques de commerce électronique bien connues. Les analystes de Silent Push ont découvert cette campagne après avoir suivi une piste fournie par le journaliste mexicain Ignacio Gómez Villaseñor. Initialement ciblant l’événement de vente ‘Hot Sale 2025’ au Mexique, la campagne s’est avérée être bien plus vaste, visant un public mondial avec des sites en anglais et en espagnol. Les sites frauduleux imitent des marques telles que Apple, Harbor Freight Tools, Michael Kors, REI, Wayfair, et Wrangler Jeans. ...

L’article publié par le Cisco Talos Blog met en avant les nouvelles tendances d’attaques de phishing utilisant des PDF pour usurper des marques connues. Ces attaques exploitent la popularité des marques pour tromper les victimes et obtenir des informations sensibles. Cisco Talos a récemment amélioré son moteur de détection d’usurpation de marque pour les emails, en se concentrant sur les menaces utilisant des PDF. Les attaquants utilisent ces fichiers pour inciter les victimes à appeler des numéros contrôlés par les adversaires, une technique connue sous le nom de Telephone-Oriented Attack Delivery (TOAD). Ces numéros sont souvent des VoIP pour masquer l’identité des attaquants. ...

L’article publié par Adam Kues le 1er juillet 2025 décrit une série de vulnérabilités XSS persistantes découvertes dans Adobe Experience Manager (AEM) Cloud. Ces vulnérabilités ont été exploitées à trois reprises, permettant l’exécution de scripts malveillants sur chaque site utilisant cette plateforme. Les chercheurs ont d’abord remarqué que le chemin /.rum était utilisé pour charger des fichiers JavaScript depuis un CDN, ce qui a permis d’exploiter des failles de sécurité pour injecter des scripts malveillants. La première attaque a tiré parti d’une erreur de validation de chemin, permettant de charger un fichier HTML malveillant depuis un package NPM hébergé sur Unpkg. ...