TTP

L’article publié le 13 juin 2025 met en lumière l’émergence d’un nouveau groupe de ransomware-as-a-service (RaaS) nommé Anubis. Ce groupe a commencé à se faire connaître en 2025 grâce à des méthodes innovantes et destructrices. Anubis se distingue par sa capacité à associer le chiffrement de fichiers à des actions plus destructrices, telles que le nettoyage de répertoires, ce qui réduit considérablement les chances de récupération des fichiers affectés. Cette approche rend les attaques particulièrement dévastatrices pour les victimes. ...

Cet article publié par MrBruh explore une vulnérabilité potentielle dans le logiciel DriverHub d’ASUS, utilisé pour gérer les pilotes sur les systèmes informatiques. L’utilisateur a découvert que le logiciel DriverHub, intégré à une carte mère ASUS, fonctionne sans interface graphique et communique avec le site driverhub.asus.com pour déterminer quels pilotes installer ou mettre à jour. Cette communication se fait via un processus en arrière-plan, soulevant des préoccupations concernant la sécurité et la confidentialité des données transmises. ...

L’article publié par Trellix le 12 juin 2025 explore une fuite majeure du panneau d’administration de LockBit, un groupe de ransomware notoire. Le 7 mai 2025, un acteur anonyme a piraté le site TOR de LockBit, remplaçant son contenu par un message anti-crime et divulguant une base de données SQL de leur panneau d’administration. Cette fuite, vérifiée par le Trellix Advanced Research Center, offre un aperçu détaillé des méthodes opérationnelles des affiliés de LockBit, couvrant la génération de ransomware, les négociations avec les victimes et les configurations de build. La base de données contient des informations allant de décembre 2024 à avril 2025, incluant des détails sur les organisations victimes, les logs de chat de négociation, et les portefeuilles de cryptomonnaie. ...

L’article de Praetorian met en lumière une nouvelle technique de phishing exploitant le flux de code d’appareil OAuth2 de GitHub pour accéder aux comptes des utilisateurs et potentiellement compromettre la chaîne d’approvisionnement des organisations. GitHub Device Code Phishing est une évolution des attaques similaires menées contre les environnements Microsoft. Les attaquants génèrent un code d’appareil via l’API OAuth de GitHub, puis utilisent des techniques de social engineering pour inciter les utilisateurs à autoriser l’accès, leur permettant ainsi de récupérer un jeton OAuth. ...

Insikt Group, une organisation spécialisée dans la cybersécurité, a rapporté une reprise significative de l’activité liée au spyware Predator, malgré les sanctions américaines et les efforts internationaux pour freiner sa prolifération. Predator, un logiciel espion mobile, a vu son activité diminuer après une exposition publique et des sanctions, mais Insikt Group a récemment détecté une augmentation de l’activité. Cette résurgence soulève des questions sur l’efficacité des mesures prises contre le Consortium Intellexa, la structure derrière Predator. ...

Le média Le MagIT rapporte une revendication de cyberattaque par le groupe malveillant Stormous contre les systèmes de l’Éducation nationale. Stormous affirme détenir des données concernant plus de 40 000 personnes et a publié un échantillon de près de 1 400 combinaisons de login/mot de passe ou adresse mail/mot de passe. Cependant, cet échantillon soulève des doutes quant à la véracité des allégations du groupe. L’analyse des données par la plateforme Cavalier d’HudsonRock indique que Stormous a probablement utilisé une combolist constituée à partir de logs de cleptogiciels (ou infostealers) largement partagés sur des chaînes Telegram spécialisées. ...

Le rapport Health-ISAC Heartbeat du premier trimestre 2025 met en lumière une tendance continue d’incidents de cybersécurité et de violations de données affectant les organisations du secteur de la santé au cours de l’année écoulée. Bien que les événements liés aux ransomwares aient légèrement diminué au troisième trimestre de 2024, ils ont repris une tendance à la hausse au quatrième trimestre et se sont poursuivis au premier trimestre de cette année. Les vulnérabilités des fournisseurs de VPN et les identifiants compromis sont restés des thèmes récurrents qui ont posé des risques pour les organisations. ...

Proofpoint, un acteur majeur dans la recherche de menaces, a récemment mis en lumière une campagne active de prise de contrôle de comptes (ATO), nommée UNK_SneakyStrike, qui utilise le framework de pentesting TeamFiltration pour cibler les comptes utilisateurs Entra ID. Depuis décembre 2024, cette campagne a affecté plus de 80 000 comptes utilisateurs à travers des centaines d’organisations. Les attaquants exploitent l’API Microsoft Teams et des serveurs Amazon Web Services (AWS) pour mener des tentatives d’énumération d’utilisateurs et de pulvérisation de mots de passe. TeamFiltration, initialement conçu pour des tests de pénétration légitimes, est détourné pour des activités malveillantes, facilitant l’exfiltration de données et l’accès persistant via des applications natives comme Microsoft Teams, OneDrive et Outlook. ...

Dans un article publié par Veracode, l’entreprise a révélé la découverte de packages npm malveillants nommés ‘solders’ et ‘@mediawave/lib’. Ces packages utilisent une technique d’obfuscation Unicode inhabituelle pour dissimuler leur véritable objectif malveillant. L’analyse a mis en lumière une chaîne d’attaque complexe en douze étapes, débutant par un script postinstall dans le fichier package.json, qui déclenche automatiquement le malware lors de l’installation. Les étapes suivantes incluent l’utilisation de JavaScript obfusqué, de scripts PowerShell téléchargés à distance, et de fichiers batch lourdement obfusqués. ...

Selon un article publié par The Register, des cybercriminels ont créé un faux installateur pour le modèle d’IA chinois DeepSeek-R1, y intégrant un malware inédit nommé ‘BrowserVenom’. Ce malware est capable de rediriger tout le trafic des navigateurs via un serveur contrôlé par les attaquants, permettant ainsi le vol de données, la surveillance des activités de navigation et l’exposition potentielle de trafic en clair. Les informations sensibles telles que les identifiants de connexion, les cookies de session, les informations financières, ainsi que les emails et documents sensibles sont à risque. ...