TTP

🗓️ Contexte Source : WNDU (presse locale américaine), publiée le 3 avril 2026. L’article rapporte une conférence de presse tenue par des élus et responsables du comté de St. Joseph (Indiana, États-Unis) en réponse à une cyberattaque revendiquée. 🎯 Incident Le groupe hacktiviste Handala, présenté comme soutenu par l’Iran, a revendiqué le mercredi 2 avril 2026 une cyberattaque contre le comté de St. Joseph. Le groupe a publié des documents sur son site web, dont l’authenticité n’a pas été vérifiée à la date de publication. ...

🔍 Contexte Publié le 3 avril 2026 par BleepingComputer, cet article rapporte les conclusions d’un rapport baptisé “BrowserGate” (https://browsergate.eu/), produit par l’association Fairlinked e.V., affirmant que LinkedIn (Microsoft) injecte des scripts JavaScript cachés dans les sessions utilisateurs pour scanner les extensions de navigateur installées et collecter des données système. 🛠️ Mécanisme technique observé BleepingComputer a confirmé indépendamment la présence d’un fichier JavaScript au nom de fichier aléatoire chargé par le site LinkedIn. Ce script : ...

🕵️ Contexte Publié le 1er avril 2026 par Daniel Kelley (Varonis Threat Labs), cet article présente une analyse technique d’un nouvel infostealer nommé Storm, apparu sur des forums cybercriminels clandestins en début d’année 2026. 🦠 Description du malware Storm est un infostealer vendu sous forme d’abonnement, développé en C++ (MSVC/msbuild), pesant environ 460 Ko, fonctionnant uniquement sous Windows. Sa version actuelle est v0.0.2.0 (Gunnar). Il se distingue par une approche de déchiffrement côté serveur des credentials navigateur, contournant ainsi les outils de sécurité endpoint qui surveillent les accès locaux aux bases de données de credentials. ...

🔍 Contexte Publié le 2 avril 2026 par Cisco Talos, cet article détaille une campagne de collecte automatisée de credentials à grande échelle attribuée au cluster de menace UAT-10608. L’analyse repose sur des données collectées à des fins de recherche, incluant l’accès à une instance NEXUS Listener non authentifiée. 🎯 Vecteur d’accès initial UAT-10608 exploite CVE-2025-55182, aussi appelée React2Shell, une vulnérabilité de Remote Code Execution (RCE) pré-authentification affectant les React Server Components (RSC) et les frameworks qui en dépendent, notamment Next.js. La faille réside dans la désérialisation de payloads HTTP sans validation adéquate sur les endpoints Server Function, permettant une exécution de code arbitraire dans le processus Node.js côté serveur. ...

🔍 Contexte Cette analyse technique est publiée par le Halcyon Ransomware Research Center le 2 avril 2026. Elle documente les tactiques, techniques et procédures (TTPs) du groupe Akira, actif depuis mars 2023 en tant qu’opération Ransomware-as-a-Service (RaaS) à motivation financière. 🎯 Profil du groupe Akira Actif depuis mars 2023, avec des liens de code et de transactions crypto vers le syndicat Conti défunt A accumulé environ 244 millions USD de rançons jusqu’en septembre 2025 Cibles : entreprises et infrastructures critiques en Amérique du Nord, Europe et Australie Modèle de double extorsion : exfiltration de données avant chiffrement, publication sur un site dark web en cas de non-paiement ⚡ Rapidité d’exécution Akira est capable de mener l’intégralité du cycle d’attaque — de l’accès initial au chiffrement — en moins d’une heure, et dans la majorité des cas en moins de quatre heures. Cette vitesse a permis de compromettre des centaines de victimes sur les 12 derniers mois. ...

🏛️ Contexte Alerte de sécurité AL26-010 publiée le 1er mai 2026 par le Centre canadien pour la cybersécurité (CCCS). Elle s’adresse aux professionnels TI et gestionnaires. Elle documente des cyberactivités malveillantes continues à motivation financière observées depuis mi-2025, avec une évolution marquée vers l’ingénierie sociale ciblant les plateformes SaaS et de gestion des identités d’entreprise. 🎯 Vecteurs d’accès initial Les campagnes n’exploitent pas de vulnérabilités logicielles mais reposent sur : Hameçonnage vocal (vishing) : usurpation d’identité de personnel IT ou de fournisseurs de confiance pour inciter les employés à s’authentifier sur des portails contrôlés par l’attaquant ou à modifier leur AMF Collecte de justificatifs et interception d’AMF : pages de phishing usurpant des marques, utilisation de cadriciels AiTM (Adversary-in-the-Middle) pour capturer des sessions SSO valides en temps réel Usurpation de sous-domaines : recours à des sous-domaines imitant les portails SSO (ex. <organization>sso[.]com) pour contourner les contrôles de réputation de domaines Abus des processus de service d’assistance : manipulation du personnel de support pour réinitialiser l’AMF ou inscrire des dispositifs contrôlés par l’attaquant Compromission de la chaîne d’approvisionnement SaaS : vol de jetons OAuth de rafraîchissement depuis des fournisseurs tiers compromis pour accéder aux systèmes clients sans déclencher l’AMF 🔍 Indicateurs clés observés Création de jetons OAuth lors d’appels suspects Connexions d’applications génériques (ex. « Outil de soutien », « Chargeur de données ») Sessions concurrentes depuis des IP ou régions différentes en quelques minutes Utilisation de jetons depuis des adresses IP étrangères, VPN ou nœuds Tor dans les secondes suivant leur création Absence de défi AMF dans les journaux d’authentification Hausse soudaine de requêtes API REST ciblant des objets à forte valeur (comptes, contacts, dossiers) Requêtes SELECT * sur des tables entières rarement consultées 💥 Activité post-compromission Déplacement latéral entre applications SaaS (messagerie, GRC, RH, référentiels documentaires) via SSO Exfiltration massive de données via API et fonctions d’export légitimes Exploitation d’intégrations SaaS tierces et de jetons stockés pour accéder aux systèmes en aval Campagnes d’extorsion avec menace de publication ou vente des données sur des sites de fuites ou forums clandestins Absence de déploiement de maliciels, rendant la détection par les outils endpoint conventionnels inefficace 📌 Type et portée Il s’agit d’une alerte de sécurité officielle émise par une autorité nationale de cybersécurité canadienne. Elle vise à sensibiliser les organisations aux tactiques d’acteurs cybercriminels à motivation financière et à fournir des indicateurs de détection exploitables pour les équipes SOC et CTI. ...

🔍 Contexte Publié le 2 avril 2026 par Takahiro Takeda sur le blog Cisco Talos Intelligence, cet article constitue une analyse technique approfondie du composant msimg32.dll malveillant déployé dans les attaques du ransomware Qilin. Il documente des détails techniques inédits de la chaîne d’infection, notamment les techniques SEH/VEH et la manipulation d’objets noyau. 🎯 Mécanisme d’infection Le fichier msimg32.dll est vraisemblablement chargé par DLL side-loading via une application légitime. Son exécution démarre dès le chargement via la fonction DllMain. La chaîne d’infection se déroule en 4 étapes : ...

🔍 Contexte Publié le 3 avril 2026 par Ctrl-Alt-Intel, cet article constitue la partie 2 d’une analyse d’incident portant sur l’attaque supply chain ciblant BuddyBoss, éditeur de plugins et thèmes WordPress. L’ensemble des preuves provient du serveur C2 de l’attaquant laissé en open directory, contenant logs d’exfiltration, payloads décodés, transcripts Claude Code, templates de backdoors PHP et données de 246+ sites victimes. ⏱️ Kill-chain (17 mars 2026, UTC) L’attaque complète s’est déroulée en 2h54 entre la première exfiltration CI/CD et le premier callback victime : ...

🔍 Contexte Publié le 3 avril 2026 par Ctrl-Alt-Intel (ctrlaltintel.com), cet article de recherche détaille une attaque supply-chain contre l’écosystème WordPress BuddyBoss / Caseproof, découverte indépendamment le 18 mars 2026 par le chercheur @ice_wzl_cyber. L’attaque avait été signalée publiquement pour la première fois par Cybernews le 24 mars 2026. 🎯 Vecteur d’attaque et déroulement L’acteur malveillant, identifié comme francophone, a utilisé Claude Code (Anthropic) comme outil d’assistance tout au long de la chaîne d’attaque : ...

🔍 Contexte Publié le 2 avril 2026 par Censys (auteur : Andrew Northern, Principal Security Researcher), cet article présente une découverte CTI issue d’une méthodologie de chasse technique basée sur l’analyse des corps de réponses HTTP à l’échelle d’Internet. La recherche a permis de surface une campagne ClickFix active livrant XWorm V5.6 via le loader MaaS PhantomVAI. 🎯 Vecteur d’entrée et infrastructure compromise Le point d’entrée est le site d’une entreprise turque de matériel médical, orcanmedikal[.]com[.]tr, dont tous les sous-domaines (naked domain, www, mail) servent une page identique de 1 655 octets intitulée “AntiFraud Authenticator”. Cette page ClickFix invite la victime à cliquer sur un bouton COPY, ce qui copie silencieusement une commande PowerShell encodée dans le presse-papiers via navigator.clipboard.writeText(). ...