TTP

🔍 Contexte Cet avis de sécurité a été publié par Dashlane Inc. le 1er juin 2026, avec une mise à jour le 4 juin 2026 confirmant la clôture de l’investigation. Il concerne une attaque par force brute ciblant les comptes utilisateurs de la plateforme de gestion de mots de passe Dashlane. 🎯 Nature de l’attaque À partir du 31 mai 2026, un acteur externe a ciblé les endpoints API d’enregistrement de nouveaux dispositifs de Dashlane. L’objectif était de contourner la protection 2FA en soumettant automatiquement un grand volume de combinaisons numériques pour deviner les tokens à 6 chiffres à usage unique envoyés par email ou générés par une application d’authentification. ...

🔍 Contexte Publié le 5 juin 2026 par Xavier Mertens sur l’Internet Storm Center (ISC/SANS), cet article documente la réapparition d’une technique de dissimulation de payload dans des images JPEG de type fond d’écran MSI, déjà observée quelques mois auparavant. 📧 Vecteur initial L’attaque débute par un e-mail contenant un lien WeTransfer légitime pointant vers un fichier JavaScript nommé “Remittance Advice.js” (SHA256 : 8a83de81fbac4eb0961f3d58982f299664a5fa4c874c7469e69f85f3fc5bd33f). Le fichier dépasse 2 Mo et contient une grande quantité de code inutile (boucles for vides) pour noyer le code malveillant. ...

🔍 Contexte Publié le 2 juin 2026 par la Sophos Counter Threat Unit (CTU), cet article décrit la découverte d’un acteur malveillant utilisant des technologies d’intelligence artificielle pour accélérer le développement de malwares et tester des techniques d’évasion EDR. L’activité a été détectée via l’enregistrement d’un endpoint anormal dans un tenant client, déclenchant des alertes sur des payloads issus du répertoire C:\Users\User\Documents\test. 🧩 Infrastructure et outils découverts Plusieurs fichiers malveillants ont été identifiés dans ce répertoire, révélant un framework d’attaque complet : ...

🔍 Contexte Publié le 2 juin 2026 par McAfee Labs (auteur : Aayush Tyagi), cet article présente une analyse technique détaillée de la campagne WeedHack, un service de Malware-as-a-Service (MaaS) ciblant l’écosystème Minecraft, actif depuis janvier 2026. 🎯 Description de la campagne WeedHack se déguise en clients et mods Minecraft légitimes pour infecter ses victimes. La campagne a généré plus de 116 464 hits au total, avec une moyenne de 2 000 à 3 000 hits par jour. Plus de 3 820 fichiers JAR malveillants et 240 URLs de distribution ont été identifiés. ...

🗓️ Contexte Article publié le 1er juin 2026 par Ilyas Makari sur le blog d’Aikido Security. Il documente la compromission de 96 versions de 32 packages npm appartenant au scope officiel @redhat-cloud-services, détectée le jour même. 🎯 Nature de l’attaque Le vecteur d’intrusion est la compromission d’un compte GitHub d’un employé Red Hat, utilisé pour pousser des commits orphelins malveillants directement dans plusieurs dépôts, contournant toute revue de code. Ces commits contenaient un fichier de workflow (ci.yaml) et un script (_index.js). ...

🎯 Contexte Le 1er juin 2026, l’équipe de recherche de Socket a publié une analyse technique détaillée d’une campagne de compromission de la chaîne d’approvisionnement logicielle ciblant le namespace npm officiel @redhat-cloud-services. L’article est classé comme une publication de recherche avec analyse technique approfondie. 🦠 Nature de l’attaque La campagne, qualifiée de « mini Shai-Hulud », reprend les tactiques fondamentales du framework d’attaque Shai-Hulud rendu open source par le groupe TeamPCP (promu via un concours BreachForums). L’attribution reste incertaine en raison de la disponibilité publique des outils. Au total, 95 versions de packages ont été publiées le 1er juin 2026 entre 10h54 et 14h25 UTC, détectées par Socket entre 11h00 et 15h21 UTC. ...

🗓️ Contexte Source : BleepingComputer, publié le 1er juin 2026. Le Centre pour la Cybersécurité Belgique (CCB), autorité nationale belge en cybersécurité, a émis une alerte le vendredi 30 mai 2026 signalant l’exploitation active dans la nature de la vulnérabilité CVE-2026-41089. 🔍 Détails de la vulnérabilité CVE : CVE-2026-41089 Composant affecté : Windows Netlogon (service RPC d’authentification des domaines Windows) Type : Stack-based buffer overflow permettant une exécution de code à distance (RCE) Prérequis : Aucun privilège requis, aucune authentification préalable nécessaire Vecteur : Envoi d’une requête réseau spécialement forgée vers un contrôleur de domaine Score CVSS 3.1 : 9.8 (Critique) Systèmes impactés : Toutes les versions de Windows Server actuellement supportées, y compris Windows Server 2025 Patch : Publié lors du Patch Tuesday de mai 2026 (12 mai 2026) Découvreur : Windows Attack Research & Protection (WARP), équipe interne Microsoft ⚠️ Exploitation active Le CCB a confirmé via un tweet que CVE-2026-41089 est activement exploité dans la nature. Aucun détail sur les attaquants, les victimes ou les méthodes d’exploitation n’a été fourni. Microsoft n’avait pas encore mis à jour son advisory au moment de la publication de l’article. ...

📰 Source : KrebsOnSecurity | Date : 1er juin 2026 Des hackers se revendiquant pro-iraniens ont découvert et exploité une faille dans le bot d’assistance IA de Meta (Instagram), permettant de réinitialiser le mot de passe de n’importe quel compte sans authentification préalable du propriétaire légitime. 🎯 Comptes ciblés et impact Les comptes Instagram de la Obama White House et du Chief Master Sergeant of the U.S. Space Force ont été brièvement défigurés avec des images et messages pro-iraniens. Des comptes à noms courts (valeur de revente estimée à plus d’un demi-million de dollars) ont également été compromis. ...

📰 Source : blog.calif.io — Publication du 1er juin 2026, analyse technique rédigée par Calif Global Inc. en hommage au chercheur Nightmare Eclipse, auteur de l’exploit RedSun. 🔍 Contexte général RedSun est un exploit d’élévation de privilèges locale (LPE) affectant Windows Defender sur tout système Windows avec la protection en temps réel activée. Il est référencé sous CVE-2026-41091 et a été découvert par le chercheur Nightmare Eclipse. ⚙️ Cause racine de la vulnérabilité Lorsque Windows Defender (MsMpEng.exe, s’exécutant en NT AUTHORITY\SYSTEM) détecte un fichier portant un tag de reparse Cloud Files (IO_REPARSE_TAG_CLOUD_*), il ne le met pas en quarantaine ni ne le supprime via le chemin normal. À la place, il réécrit le fichier à son emplacement d’origine. Ce comportement, combiné à la possibilité pour un utilisateur standard de manipuler les chemins via des jonctions NTFS, permet de rediriger cette écriture privilégiée vers C:\Windows\System32. ...

🗓️ Contexte Source : Check Point Blog — publié le 1er juin 2026. Le 22 mai 2026, des enquêteurs néerlandais spécialisés dans la criminalité financière ont saisi environ 800 serveurs dans des datacenters à Dronten et Schiphol-Rijk (Pays-Bas), ciblant le fournisseur d’hébergement WorkTitans B.V. 🏢 WorkTitans : successeur de Stark Industries En mai 2025, l’UE avait sanctionné Stark Industries, un fournisseur d’accès internet lié aux opérations de guerre informationnelle russes. Plutôt que de cesser ses activités, ses opérateurs auraient simplement rebrandé sous le nom WorkTitans, continuant à exploiter la même infrastructure sous une nouvelle identité juridique. ...