TTP

Source : Picus Security — L’analyse détaille les tactiques, techniques et procédures (TTPs) d’UNC3886, un groupe APT lié à la Chine visant des infrastructures critiques en Asie, Europe et Amérique du Nord, et montre comment la Picus Security Validation Platform simule ces attaques pour révéler les lacunes de détection. • Accès initial 🛠️ : exploitation de zero-days dans des systèmes d’entreprise, notamment Fortinet et VMware. • Persistance 🧬 : déploiement de rootkits sophistiqués, dont TinyShell et REPTILE, pour une présence de longue durée. • Évasion 🕵️ : utilisation d’outils renommés et de manipulation d’horodatage pour masquer l’activité. • Accès aux identifiants 🔐 : collecte de clés privées SSH. • Commandement et contrôle 📡 : C2 chiffré sur des ports non standard. • Exfiltration 📤 : exfiltration chiffrée des données. ...

Selon Infoblox (blog Threat Intelligence), ce rapport analyse en profondeur VexTrio, une organisation cybercriminelle ancienne et sophistiquée opérant un vaste écosystème mondial de scams, spam et applications mobiles frauduleuses. L’étude décrit un modèle économique multi‑canal : sites de rencontres factices, arnaques crypto, apps VPN et adblock malveillantes (plus d’1 million de téléchargements) et opérations de spam usurpant des services e‑mail légitimes. VexTrio contrôle à la fois les Traffic Distribution Systems (TDS) et les pages d’atterrissage frauduleuses, maximise ses profits via un réseau de sociétés écrans et de programmes d’affiliation, et illustre la porosité entre adtech et cybercriminalité ⚠️. ...

Source et contexte — WeLiveSecurity (ESET Research) publie une analyse d’exploitation active d’une vulnérabilité zero‑day de WinRAR, identifiée comme CVE‑2025‑8088, découverte le 18 juillet 2025 et corrigée le 30 juillet 2025 (WinRAR 7.13). La faille permet, via des flux de données alternatifs (ADSes), une traversée de chemin conduisant au déploiement silencieux de fichiers malveillants lors de l’extraction. Les composants affectés incluent WinRAR, ses utilitaires en ligne de commande Windows, UnRAR.dll et le code source UnRAR portable. ...

Selon Fortinet (FortiMail Workspace Security), une campagne ciblée vise des organisations israéliennes en abusant d’infrastructures email compromises pour diffuser des leurres menant à une fausse page Microsoft Teams. L’objectif est d’amener l’utilisateur à déclencher des commandes PowerShell (« ClickFix ») qui installent un RAT entièrement basé sur PowerShell. 🚨 Nature de l’attaque: des emails de phishing redirigent vers une page Microsoft Teams factice. Le mécanisme « ClickFix » incite l’utilisateur à exécuter des commandes PowerShell encodées en Base64, amorçant une chaîne d’infection multi‑étapes. L’attribution potentielle pointe vers les acteurs MuddyWater, sans confirmation définitive. ...

Selon Pointwild, des chercheurs en sécurité ont analysé une campagne malveillante qui abuse de la popularité de Minecraft en se faisant passer pour des installateurs « Eaglercraft 1.12 Offline ». La cible principale est un public jeune et des joueurs occasionnels attirés par des téléchargements non officiels. Le logiciel malveillant embarque le RAT NjRat via Celesty Binder, qui assemble du contenu HTML légitime d’Eaglercraft avec la charge utile. À l’exécution, il dépose plusieurs fichiers (dont CLIENT.exe et WindowsServices.exe), met en place une persistance via les clés Run du registre, et ouvre des exceptions pare-feu via des commandes netsh. ...

Selon Check Point Research (Threat Intelligence Report du 11 août), un bulletin recense des menaces majeures mêlant fuites de données, vulnérabilités critiques et évolution de malwares actifs. • Fuites de données: des brèches significatives chez Air France, Google et d’autres organisations ont exposé des millions d’enregistrements clients. • Vulnérabilités critiques: plusieurs failles à fort impact sont détaillées: Cursor IDE — CVE-2025-54136: permet une exécution de code à distance persistante (RCE) via manipulation de la configuration MCP. Dell ControlVault3 (ReVault): cinq vulnérabilités critiques autorisant implant firmware et élévation de privilèges. Trend Micro Apex One — CVE-2025-54987, CVE-2025-54948: failles RCE activement exploitées. • Malware et techniques: le malware Raspberry Robin a renforcé son obfuscation et est passé du chiffrement AES‑CTR à ChaCha20 avec compteurs aléatoires. Un nouveau malware “AV‑killer” abuse du driver ThrottleStop.sys (CVE-2025-7771) pour réaliser des terminaisons de processus au niveau kernel, en manipulant la mémoire via MmMapIoSpace. ...

Selon Truesec, le groupe hacktiviste israélien Predatory Sparrow a conduit une cyberattaque politiquement motivée contre Nobitex, le plus grand exchange de cryptomonnaies en Iran, détruisant environ 90 M$ d’actifs numériques au lieu de les dérober. 💥 Nature de l’attaque: attaque destructrice et ciblée contre une infrastructure financière critique iranienne. L’opération s’inscrit dans le contexte plus large des hostilités entre Israël et l’Iran et vise des mécanismes utilisés pour contourner les sanctions occidentales. ...

Selon Palo Alto Networks Unit 42, des tentatives d’exploitation actives visent CVE-2025-32433, une vulnérabilité critique d’exécution de code à distance (CVSS 10.0) affectant le démon SSH d’Erlang/OTP. • Vulnérabilité et impact. La faille repose sur une mauvaise application d’état dans l’implémentation SSH d’Erlang/OTP, permettant le traitement de messages du protocole de connexion SSH (codes >= 80) avant la fin de l’authentification. Des attaquants non authentifiés peuvent ainsi exécuter des commandes arbitraires. Unit 42 note que 70 % des tentatives proviennent de pare-feu protégeant des réseaux OT, avec un impact notable sur les secteurs santé, éducation et haute technologie. 🚨 ...

Selon Specops Software, plusieurs organisations de premier plan, dont Chanel, Google, Air France et KLM, ont subi des fuites de données via des plateformes CRM tierces, principalement des instances Salesforce. Les attaquants ont mené une campagne de vishing et d’ingénierie sociale ciblant les équipes de help desk, obtenant des accès OAuth/connected-app pour exfiltrer des enregistrements de service client. Les données compromises comprennent des noms, coordonnées, identifiants de fidélité et des correspondances de service. L’accès non autorisé a été obtenu par abus d’autorisations excessives accordées à des tiers et par des contrôles d’authentification jugés faibles, facilitant l’exploitation des environnements Salesforce ciblés. ...

Selon un discussion paper du GFCE (juillet 2025), publié dans le contexte de l’opération de police internationale « Operation Eastwood » (14–17 juillet 2025) contre le collectif pro-russe NoName057, les campagnes DDoS menées via l’outil DDoSIA exigent une évaluation qui dépasse les métriques techniques pour intégrer leurs effets stratégiques et sociétaux. Le document avance un modèle à « double lentille » qui combine des coûts quantitatifs et des impacts qualitatifs. Côté quantitatif, la formule Total Quantitative Cost = Σ[(Vi × Di) × Mi] + R + S intègre le volume et la durée d’attaque, un coût de mitigation estimé à 0,02–0,15 $/GB (références Cloudflare, AWS Shield, Akamai), ainsi que des coûts de réponse agrégés et sectoriels. Un exemple chiffré donne 3 456 $ de coûts techniques immédiats pour une attaque coordonnée (8 h, 1,5 GB/s, 0,08 $/GB), avant l’application de multiplicateurs R et S que l’analyse situe à +300–500%. Le cadre explicite les effets macroéconomiques (pertes sèches, externalités de réseau, coûts d’opportunité, correction de défaillances de marché). ...