TTP

🔍 Contexte Publié le 7 avril 2026 par Vladimir Tokarev (Cyera Research Labs), cet article présente la découverte et l’analyse technique de CVE-2026-34040 (CVSS 8.8 High), une vulnérabilité d’autorisation dans Docker Engine affectant les versions antérieures à 29.3.1. 🐛 Description de la vulnérabilité La vulnérabilité réside dans le middleware AuthZ de Docker Engine. Lorsqu’un corps de requête HTTP dépasse 1 Mo (maxBodySize = 1 048 576 octets), le middleware abandonne silencieusement le corps avant de le transmettre au plugin d’autorisation. Le daemon Docker, lui, traite la requête complète normalement. ...

📰 Source : The Record (therecord.media) — Date de publication : 8 avril 2026 Le gouverneur du Minnesota Tim Walz a émis un décret exécutif le mardi 7 avril 2026, ordonnant le déploiement de la Minnesota National Guard dans le comté de Winona à la suite d’une cyberattaque survenue le lundi 6 avril 2026. 🎯 Impact de l’attaque L’attaque a provoqué des perturbations significatives des services d’urgence et des services critiques municipaux. Le comté de Winona, qui compte environ 50 000 habitants, n’a pas publié de déclaration officielle sur cet incident. Le maire de la ville de Winona, Scott Sherman, a précisé que l’attaque n’affectait que le gouvernement du comté et avait un impact minimal sur les opérations municipales. ...

🔍 Contexte Publié le 8 avril 2026 par Bobby Gould et Michael DePlante sur le blog de la Zero Day Initiative (ZDI), cet article détaille une vulnérabilité structurelle dans la résolution de modules Node.js sur Windows, initialement signalée en septembre 2024 par un chercheur anonyme. ⚙️ Cause racine Lorsqu’une application Node.js appelle require('bar'), le runtime parcourt une liste de chemins jusqu’à atteindre C:\node_modules. Sur Windows, tout utilisateur peu privilégié peut créer ce répertoire et y déposer un module malveillant. Si la dépendance légitime est absente (optionnelle, supprimée en production, ou non installée), Node.js charge et exécute le fichier malveillant dans le contexte de l’utilisateur courant. ...

📰 Source : The Guardian | Date : 7 avril 2026 | Contexte : Incident de sécurité interne chez Meta, révélé plus d’un an après sa découverte, faisant l’objet d’une enquête criminelle au Royaume-Uni. 🔍 Nature de l’incident Un ancien employé de Meta, résidant à Londres, est soupçonné d’avoir accédé et téléchargé environ 30 000 images privées appartenant à des utilisateurs de Facebook, pendant qu’il était encore en poste au sein de l’entreprise. ...

🔍 Contexte Publié le 31 mars 2026 par Infoblox Threat Intel et Confiant, cet article constitue la partie 3 d’une série sur l’abus du Keitaro Tracker, un système de suivi publicitaire auto-hébergé massivement détourné comme Traffic Distribution System (TDS) et outil de cloaking par des acteurs malveillants. 📊 Sources de données et tendances L’étude couvre la période du 1er octobre 2025 au 31 janvier 2026 et combine : Télémétrie DNS passive (pDNS) d’Infoblox : ~226 000 requêtes DNS sur ~13 500 domaines liés à Keitaro Plus de 8 000 nouvelles inscriptions de domaines attribuées à des acteurs malveillants, concentrées chez 5 registrars : Dynadot, Namecheap, Public Domain Registry, Global Domain Group, Sav 275 millions d’impressions publicitaires analysées via Confiant, révélant ~2 000 domaines hébergeant des instances Keitaro dans des campagnes de malvertising 120+ campagnes spam distinctes, dont 96% liées à des crypto wallet-drainers (AURA, SOL, Phantom, Jupiter) 📅 Événements notables 7 octobre 2025 : Un acteur ciblant des russophones enregistre des centaines de domaines .com via une promotion Dynadot à 6,88$ 26 novembre 2025 (Black Friday) : Le même acteur achète en masse des domaines .icu, .click, .digital 30 octobre – 1er novembre 2025 : Pic massif de requêtes DNS attribué à un acteur utilisant Keitaro pour rediriger les utilisateurs ciblés (Android/Allemagne, Windows/USA/Suisse) vers des sites de jeux d’argent en ligne ⚙️ Fonctionnalités Keitaro exploitées Routing via Campaigns/Flows : filtrage par géolocalisation IP, OS, navigateur, type d’appareil, référent, paramètres URI Cloaking : intégration avec des kits tiers comme IMKLO, HideClick, Adspect Cloaker (IA, contournement Google/TikTok/Meta) KClient JS : substitution de contenu côté client sans redirection visible Antibot : listes d’IP bloquées enrichies par des données tierces partagées sur GitHub et forums 🍪 Collisions de cookies Les instances Keitaro posent des cookies de tracking (_token, _subid, cookie alphanumérique 5 caractères pour v<11). Ces valeurs étaient utilisées comme signatures d’acteurs, mais l’analyse a révélé des collisions : ...

🔍 Contexte Source : KrebsOnSecurity, publié le 6 avril 2026. Le Bureau fédéral de police criminelle allemand (BKA / Bundeskriminalamt) a publié un avis officiel révélant l’identité du hacker opérant sous le pseudonyme UNKN (alias UNKNOWN), jusqu’alors non identifié publiquement. 👤 Individus identifiés Daniil Maksimovich Shchukin, 31 ans, ressortissant russe, originaire de Krasnodar (Russie), identifié comme chef des groupes GandCrab et REvil Anatoly Sergeevitsch Kravchuk, 43 ans, ressortissant russe, co-accusé Shchukin était également actif sous l’identité Ger0in sur des forums cybercriminels russes entre 2010 et 2011, opérant des botnets et vendant des « installs » 🎯 Faits reprochés Au moins 130 actes de sabotage informatique et d’extorsion contre des victimes en Allemagne entre 2019 et 2021 ~2 millions d’euros extorqués sur une vingtaine d’attaques Plus de 35 millions d’euros de dommages économiques totaux en Allemagne Un portefeuille numérique lié à Shchukin contenait plus de 317 000 dollars en cryptomonnaies selon un dossier du DOJ américain de février 2023 🦠 Groupes ransomware dirigés GandCrab Apparu en janvier 2018 sous forme de programme d’affiliation Cinq révisions majeures du code publiées Arrêt annoncé le 31 mai 2019 après avoir extorqué plus de 2 milliards de dollars à des victimes Pionnier de la double extorsion (paiement pour déchiffrement + paiement pour non-publication des données) REvil Apparu concomitamment à la fermeture de GandCrab Fronté par UNKNOWN, qui avait déposé 1 million de dollars en escrow sur un forum cybercriminel russe Ciblait principalement des organisations avec plus de 100 millions de dollars de revenus annuels Attaque majeure : hack de Kaseya le week-end du 4 juillet 2021, affectant plus de 1 500 entreprises, ONG et agences gouvernementales Le FBI avait infiltré les serveurs de REvil avant l’attaque Kaseya et a publié une clé de déchiffrement gratuite pour les victimes 🔗 Liens et attribution Le nom de Shchukin apparaît dans un dossier du DOJ américain de février 2023 lié à la saisie de comptes cryptomonnaies associés à REvil La firme Intel 471 a indexé des données de forums russes reliant Shchukin à l’identité Ger0in Une correspondance photographique a été établie via PimEyes entre les photos du BKA et une célébration d’anniversaire de 2023 à Krasnodar UNKNOWN avait accordé une interview à Dmitry Smilyanets (Recorded Future) 📌 Type d’article Article de presse spécialisée relatant une opération d’attribution et de doxing officiel par les autorités allemandes, visant à exposer publiquement l’identité d’un cybercriminel présumé résidant en Russie et hors de portée judiciaire immédiate. ...

📰 Source : Corriere della Sera (Marco Persico), publié le 4 avril 2026. L’article relate une cyberattaque ciblée contre les Galeries des Offices de Florence, l’un des musées les plus importants au monde. 🎯 Nature de l’attaque L’attaque est décrite comme planifiée et professionnelle, avec une phase de reconnaissance prolongée (présence dans les systèmes pendant plusieurs mois). Les attaquants ont exfiltré des données avant de bloquer les systèmes et d’envoyer une demande de rançon de 300 000 € en cryptomonnaies, avec un ultimatum de 72 heures. La demande a été transmise directement sur le téléphone personnel du directeur Simone Verde, début février 2026. ...

🗓️ Contexte Source : BleepingComputer, publié le 4 avril 2026. Cet article relate un incident de supply chain affectant Axios, l’un des clients HTTP les plus populaires de l’écosystème JavaScript/npm, avec des milliards de téléchargements hebdomadaires. 🎯 Déroulement de l’attaque L’attaque a débuté par une campagne d’ingénierie sociale ciblée contre Jason Saayman, mainteneur principal du projet. Les attaquants ont : Usurpé l’identité d’une entreprise légitime en clonant son branding et les profils de ses fondateurs Invité la victime dans un faux espace de travail Slack contenant des canaux réalistes, des profils fictifs d’employés et d’autres mainteneurs open-source Planifié une réunion sur Microsoft Teams avec de nombreux participants apparents Affiché un faux message d’erreur technique pendant l’appel, incitant la victime à installer une fausse mise à jour Teams contenant un RAT Cette technique est similaire aux attaques de type ClickFix, où une fausse erreur pousse la victime à exécuter un correctif malveillant. ...

📰 Source : BleepingComputer — Date de publication : 5 avril 2026 Une nouvelle campagne de smishing (phishing par SMS) cible des résidents de plusieurs États américains en usurpant l’identité de tribunaux d’État. Les messages frauduleux se présentent comme des « Notice of Default » concernant des infractions routières non réglées, et incluent une image d’un faux avis de tribunal contenant un QR code embarqué. 🎯 États ciblés identifiés : New York, Californie, Caroline du Nord, Illinois, Virginie, Texas, Connecticut, New Jersey 🔗 Chaîne d’infection : ...

🔍 Contexte Cette analyse technique a été publiée le 31 mars 2026 par la Microsoft Defender Security Research Team. Elle documente une campagne active observée depuis fin février 2026, exploitant WhatsApp comme vecteur de distribution de fichiers VBScript (VBS) malveillants. 🎯 Chaîne d’infection La campagne se déroule en quatre étapes distinctes : Étape 1 – Accès initial : Des fichiers VBS sont envoyés via WhatsApp. Une fois exécutés, ils créent des dossiers cachés dans C:\ProgramData et y déposent des utilitaires Windows légitimes renommés (curl.exe → netapi.dll, bitsadmin.exe → sc.exe) pour se fondre dans l’environnement système. Étape 2 – Récupération de payloads : Les binaires renommés téléchargent des droppers secondaires (auxs.vbs, WinUpdate_KB5034231.vbs, 2009.vbs) depuis des services cloud légitimes (AWS S3, Tencent Cloud, Backblaze B2), dans un dossier caché C:\ProgramData\EDS8738. Étape 3 – Élévation de privilèges et persistance : Le malware tente de contourner l’UAC en lançant cmd.exe avec des privilèges élevés, modifie la valeur de registre ConsentPromptBehaviorAdmin sous HKLM\Software\Microsoft\Win, et installe des mécanismes de persistance survivant aux redémarrages. Étape 4 – Payload final : Des installeurs MSI non signés sont déployés (Setup.msi, WinRAR.msi, LinkPoint.msi, AnyDesk.msi), permettant un accès distant persistant aux systèmes compromis. 🛠️ Techniques notables Living-off-the-land (LOLBAS) : utilisation de curl.exe et bitsadmin.exe renommés Hébergement cloud : payloads hébergés sur AWS S3, Tencent Cloud, Backblaze B2 Bypass UAC via modification du registre Discordance PE metadata : les binaires renommés conservent leur champ OriginalFileName d’origine, exploitable comme signal de détection 📡 Infrastructure C2 Deux domaines de commande et contrôle ont été identifiés : neescil.top et velthora.top. ...