TTP

🔍 Contexte Publié sur GitHub (xaitax/TotalRecall), cet article présente TotalRecall Reloaded, un outil offensif ciblant la fonctionnalité Windows Recall de Microsoft. Il s’agit d’une analyse technique détaillée accompagnée d’un outil fonctionnel démontrant plusieurs failles architecturales dans la conception de sécurité de Recall. 🏗️ Architecture et vulnérabilité fondamentale Microsoft a sécurisé Windows Recall avec VBS enclaves, chiffrement AES-256-GCM, authentification Windows Hello et un hôte Protected Process Light (PPL). Cependant, le processus de rendu AIXHost.exe ne bénéficie d’aucune de ces protections (pas de PPL, pas d’AppContainer, pas d’enforcement d’intégrité de code). Tout processus s’exécutant en tant qu’utilisateur connecté peut y injecter du code et appeler les mêmes API COM que l’interface légitime. ...

🗓️ Contexte Source : Help Net Security, article de Zeljka Zorz publié le 17 avril 2026. L’article couvre la publication successive de trois exploits zero-day ciblant Microsoft Defender, ainsi que leur exploitation active observée dans la nature. 🔍 Les trois exploits Un chercheur anonyme opérant sous les pseudonymes Chaotic Eclipse et Nightmare Eclipse a publié trois PoC sur GitHub : BlueHammer (publié le 3 avril 2026) : vulnérabilité d’élévation de privilèges dans Microsoft Defender. Associée au CVE-2026-33825, corrigée par Microsoft le 14 avril 2026. Les chercheurs officiellement crédités pour ce CVE sont Zen Dodd et Yuanpei Xu, distincts du chercheur anonyme. RedSun (publié le 16 avril 2026) : second flaw d’élévation de privilèges dans Microsoft Defender. Son efficacité a été confirmée par le vulnerability analyst Will Dormann. UnDefend (publié le 16 avril 2026) : permet à un utilisateur standard de bloquer les mises à jour de signatures de Microsoft Defender ou de le désactiver entièrement lors d’une mise à jour majeure. Le dépôt GitHub reste accessible malgré un avertissement de la plateforme (propriété de Microsoft). ...

🗓️ Contexte Source : Ars Technica, article de Dan Goodin publié le 17 avril 2026. L’article rapporte un incident de cybersécurité majeur ayant touché Grinex, un exchange de cryptomonnaies enregistré au Kirghizistan et sanctionné par le Trésor américain (OFAC). 💥 Incident Grinex a annoncé la suspension de ses opérations à la suite d’un vol estimé à 15 millions de dollars en USDT (stablecoin basé sur Ethereum). La société avait initialement communiqué sur un montant de 13 millions de dollars, mais les chercheurs de TRM Labs ont identifié environ 70 adresses drainées (contre ~54 signalées par Grinex), portant l’estimation à 15 millions. ...

📰 Source : BleepingComputer — Date : 13 avril 2026 Adobe a publié une mise à jour de sécurité d’urgence pour Acrobat Reader afin de corriger la vulnérabilité CVE-2026-34621, activement exploitée en conditions réelles depuis au moins décembre 2025. 🔍 Nature de la vulnérabilité La faille permet à des fichiers PDF malveillants de contourner les restrictions du sandbox d’Acrobat Reader et d’invoquer des API JavaScript privilégiées, pouvant mener à une exécution de code arbitraire. Aucune interaction utilisateur n’est requise au-delà de l’ouverture du PDF. ...

🗓️ Contexte Source : BleepingComputer, publié le 15 avril 2026. Le CERT-UA a publié un rapport détaillant une campagne d’attaques ciblant des gouvernements locaux, des hôpitaux et potentiellement des représentants des Forces de Défense ukrainiennes. La campagne est attribuée au cluster de menace UAC-0247. 🎯 Vecteur d’infection et chaîne d’attaque L’attaque débute par un email de phishing se faisant passer pour une offre d’aide humanitaire, contenant un lien malveillant. Ce lien redirige vers : ...

📰 Source : Hoodline — Article de presse généraliste publié le 13 avril 2026, relatant un incident de cybersécurité affectant le district scolaire de Spring Lake Park, dans la banlieue nord de Minneapolis (Minnesota, États-Unis). 🔓 Nature de l’incident Le dimanche précédant la publication, l’équipe technologique du district a confirmé qu’une tierce partie avait obtenu un accès non autorisé à certains systèmes du district. L’incident est officiellement traité comme un suspected ransomware attack. En réponse, le personnel a procédé à l’arrêt complet de tous les systèmes pour empêcher toute propagation, y compris les systèmes nécessaires au fonctionnement scolaire. ...

🗓️ Contexte Le 16 avril 2026, Autovista a publié une mise à jour officielle sur son site (autovista.com) concernant un incident de type ransomware affectant certains de ses systèmes. La publication fait suite à une perturbation initialement signalée le 15 avril 2026. 🎯 Nature de l’incident L’incident est explicitement qualifié de ransomware par l’organisation. Les systèmes impactés sont localisés en Europe et en Australie. Des applications Autovista ont été perturbées, et certains employés ont perdu temporairement l’accès à leur messagerie électronique. ...

🔍 Contexte Article publié le 16 avril 2026 par Puja Srivastava sur le blog Sucuri. Il s’agit d’une analyse technique issue d’une investigation de nettoyage de malware sur un site Joomla compromis, dont le propriétaire signalait l’apparition de liens produits suspects sans rapport avec son activité. 🧩 Mécanisme d’infection Les attaquants ont injecté un bloc de code PHP fortement obfusqué en tête du fichier index.php du site Joomla. Le code est structuré en quatre fonctions PHP : ...

🔍 Contexte Rapid7 a publié le 16 avril 2026 une analyse technique d’une campagne de phishing de type ClickFix détectée le 9 avril 2026 auprès de clients situés dans l’Union Européenne et aux États-Unis. La campagne présentait peu de visibilité sur VirusTotal au moment de sa découverte. 🎯 Vecteur d’attaque La campagne se distingue par l’usurpation de l’identité de Claude, l’assistant IA d’Anthropic. Un faux installateur MSIX (claude.msixbundle) était servi depuis le domaine download-version[.]1-5-8[.]com. L’exécution initiale passait par mshta lancé via l’utilitaire Windows Run, enregistré dans la clé de registre RunMRU. ...

🔍 Contexte Article publié le 16 avril 2026 par Picus Security, analysant en détail deux nouvelles vulnérabilités affectant Citrix NetScaler ADC et NetScaler Gateway, surnommées collectivement « CitrixBleed 3 » par la communauté sécurité. 🚨 Vulnérabilités identifiées CVE-2026-3055 (CVSS v4.0 : 9.3 — Critique) est une lecture hors limites (CWE-125) non authentifiée affectant les appliances configurées en tant que SAML Identity Provider. Elle expose via le cookie NSC_TASS des données mémoire encodées en base64 incluant tokens de session, assertions SAML et credentials LDAP. ...