TTP

📰 Source : secjuice.com — publié le 31 mai 2026. Article de fond destiné aux analystes malware, junior comme senior, abordant la méthodologie et la philosophie de l’analyse de malware. 🎯 Contexte général L’article pose la question centrale : l’analyse de malware se résume-t-elle à la maîtrise d’outils ? La réponse développée est non : le mindset de l’analyste est l’élément différenciateur, les outils n’étant que des facilitateurs. 🛠️ Outils mentionnés L’article cite une liste d’outils courants utilisés en analyse statique et dynamique : ...

📰 Source : BleepingComputer | Date de publication : 29 mai 2026 | Contexte : Suite à la violation de données de 2023 ayant exposé les informations de près de 7 millions de clients de 23andMe (désormais Chrome Holding Co.), le procureur général de Californie Rob Bonta a déposé une plainte formelle contre l’entreprise. 🔍 Incident d’origine (2023) L’attaque a été révélée en octobre 2023, lorsque des acteurs malveillants ont proposé à la vente des enregistrements volés à 23andMe, accompagnés de fuites d’échantillons de données pour en prouver l’authenticité. L’entreprise a confirmé l’authenticité des données et attribué l’intrusion à une attaque par credential stuffing ciblant des comptes avec des identifiants faibles. ...

🔍 Contexte Publié le 30 mai 2026 sur BleepingComputer, cet article rapporte la divulgation d’une vulnérabilité locale d’élévation de privilèges dans le noyau Linux, nommée CIFSwitch, découverte par Asim Viladi Oglu Manizada, ingénieur sécurité chez SpaceX. 🧩 Mécanisme de la vulnérabilité Le sous-système CIFS du noyau Linux ne vérifie pas que les requêtes de clé cifs.spnego proviennent bien du client CIFS du noyau. Un utilisateur non privilégié peut ainsi : Créer une requête cifs.spnego forgée pour déclencher le workflow d’authentification normal Abuser du helper cifs.upcall (exécuté en root) qui fait confiance aux champs contrôlés par l’attaquant Forcer un changement de namespace, puis déclencher une résolution NSS (Name Service Switch) avant l’abandon des privilèges Charger un module NSS malveillant pour obtenir une exécution de code en root 📦 Versions et distributions affectées La faille a été introduite en 2007 et affecte les combinaisons vulnérables du noyau CIFS et de cifs-utils (versions 6.14 et supérieures, ainsi que certaines versions antérieures). Les distributions confirmées vulnérables dans leur configuration par défaut incluent : ...

🔍 Contexte Publié le 27 mai 2026 par Asim Viladi Oglu Manizada sur son blog personnel, cet article détaille la découverte et l’exploitation d’une vulnérabilité d’élévation de privilèges locale (LPE) baptisée CIFSwitch, affectant le noyau Linux et le paquet cifs-utils. La découverte a été facilitée par l’utilisation d’agents LLM. 🐛 Description de la vulnérabilité La vulnérabilité repose sur une chaîne de bugs logiques à l’intersection du module noyau CIFS et du helper userspace cifs.upcall fourni par cifs-utils : ...

🔍 Contexte CrowdSec publie le 1er juin 2026 une analyse de la vulnérabilité CVE-2026-4020 affectant le plugin WordPress Gravity SMTP développé par RocketGenius. La vulnérabilité a été publiée le 31 mars 2026, la couverture de détection CrowdSec déployée le 22 mai, et la première exploitation in-the-wild observée le 27 mai 2026. ⚙️ Mécanisme technique La faille réside dans un endpoint REST API exposé sans contrôle d’accès approprié. L’endpoint /wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings est accessible sans authentification car la vérification de permission retourne systématiquement true. ...

🗓️ Contexte Source : BleepingComputer, publié le 31 mai 2026. Des acteurs malveillants exploitent activement une vulnérabilité critique dans le plugin WordPress WP Maps Pro, permettant la création de comptes administrateurs sans authentification. 🔍 Vulnérabilité CVE : CVE-2026-8732, sévérité critique Produit affecté : WP Maps Pro versions 6.1.0 et antérieures (plugin premium WordPress, +15 800 ventes sur Envato Market) Découverte : Chercheur en sécurité David Brown, signalée à Wordfence le 24 mars, vendeur notifié le 16 mai Correctif : Version 6.1.1 publiée le 20 mai 2026 ⚙️ Mécanisme d’exploitation La vulnérabilité réside dans une fonctionnalité d’accès temporaire destinée au support vendeur : ...

🔍 Contexte Publié le 30 mai 2026 par Silent Push, cet article de recherche présente la découverte et l’analyse d’un nouvel acteur de la menace baptisé DriveSurge, opérant comme Initial Access Broker (IAB) selon un modèle Pay-Per-Install (PPI). 🎯 Acteur et mode opératoire DriveSurge a compromis des milliers de sites web légitimes en y injectant du code JavaScript malveillant. Ces sites redirigent silencieusement les visiteurs via un Traffic Distribution System (TDS) open-source appelé zTDS (version 1.0.3, disponible depuis 2015 sur ztds[.]info). Le TDS profile les visiteurs et leur sert l’une des deux attaques suivantes : ...

🔍 Contexte Publié le 27 mai 2026 par Netcraft (auteure : Ginny Spicer), cet article présente une analyse technique d’une vague d’attaques de device code phishing propulsées par le toolkit EvilTokens, ainsi qu’une campagne connexe baptisée GhostPairing ciblant les messageries sécurisées. ⚙️ Mécanisme d’attaque EvilTokens EvilTokens abuse du flux d’autorisation par code d’appareil OAuth 2.0 : L’attaquant vérifie l’existence d’un compte cible via l’endpoint GetCredentialType sur login.microsoftonline.com Une lure est envoyée à la victime contenant une URL ou pièce jointe « nécessitant une authentification » La page malveillante génère un device code au moment du chargement (réinitialisant le délai d’expiration de 15 minutes de Microsoft) La victime entre le code sur l’URL de vérification légitime (ex. microsoft.com/devicelogin) Le client de l’attaquant, en polling sur l’endpoint token, reçoit des access et refresh tokens lui donnant un accès API persistant sous l’identité de la victime Le toolkit intègre : copie automatique du code dans le presse-papiers, design responsive pour mobile, mécanisme anti-bot (case à cocher), et des mécanismes anti-analyse (désactivation du clic droit, obfuscation JavaScript multi-couches, collecte d’informations via ipinfo.io). ...

🔍 Contexte Source : BleepingComputer, publié le 30 mai 2026. Palo Alto Networks a mis à jour son advisory pour signaler l’exploitation active de CVE-2026-0257, une vulnérabilité de contournement d’authentification affectant PAN-OS GlobalProtect (portail et passerelle VPN). 🐛 Vulnérabilité CVE-2026-0257 : contournement des restrictions de sécurité permettant d’établir des connexions VPN non autorisées Sévérité initialement Medium, rehaussée à High suite à l’exploitation active Condition d’exploitation : dispositifs configurés avec les authentication override cookies activés et une configuration de certificat spécifique La faille réside dans la validation des cookies d’override : PAN-OS déchiffre ces cookies avec une clé privée configurée et fait confiance au contenu déchiffré sans vérification de signature Si le même certificat est réutilisé pour les services HTTPS et les cookies d’override, un attaquant peut récupérer la clé publique via la session HTTPS et forger des cookies valides 📅 Chronologie des attaques 17 mai 2026 : première exploitation observée (selon Rapid7) 18 mai 2026 : première vague détectée depuis une infrastructure hébergée par Vultr 21 mai 2026 : deuxième vague détectée, originaire de Dromatics Systems 29 mai 2026 : ajout au catalogue CISA KEV 1er juin 2026 : date limite imposée aux agences fédérales américaines pour mitiger la faille 🎯 Méthode d’attaque Authentification aux passerelles GlobalProtect via des cookies d’override forgés ciblant le compte administrateur local Dans certains cas, connexion VPN établie avec succès, donnant accès aux réseaux internes Dans d’autres cas, le cookie forgé est accepté mais la session VPN complète ne peut être établie Aucun mouvement latéral observé par Rapid7 depuis les dispositifs compromis Rapid7 a développé un proof-of-concept démontrant la récupération des certificats publics, la génération de cookies forgés et l’authentification sans credentials valides 🏢 Impact Exploitation confirmée contre de nombreux clients de Rapid7 MDR Cible : réseaux d’entreprise utilisant GlobalProtect VPN non patché 📄 Type d’article Alerte de sécurité combinant un rapport d’exploitation active. But principal : informer les organisations de l’exploitation en cours de CVE-2026-0257 et documenter les conditions techniques de la vulnérabilité. ...

🔍 Contexte Publié le 27 mai 2026 par Unit 42 (Palo Alto Networks), cet article de recherche examine l’évolution des tactiques d’extorsion cybercriminelle, en particulier la tendance croissante aux campagnes de vol de données pur (sans ransomware), qui exercent une pression financière sur les victimes sans chiffrement de leurs systèmes. 📊 Tendances clés identifiées en 2025 Les campagnes de pure exfiltration de données ont fortement ciblé les secteurs des Services Professionnels, de la Santé et des Services aux Consommateurs. Les organisations de taille intermédiaire (mid-sized) représentent 64% des victimes de ces campagnes. Le secteur de la Construction a enregistré une hausse de 44% en glissement annuel comme cible d’extorsion basée uniquement sur les données. Le secteur Manufacturier reste le plus perturbé globalement, toutes menaces confondues. 🎯 Motivations et attractivité des cibles Les entreprises du secteur de la Construction sont ciblées en raison de la valeur de leurs données financières, plans et données d’appels d’offres, combinée à des contrôles de sortie de données (data egress) insuffisants. ...