TTP

Source: GreyNoise — Le fournisseur de threat intelligence rapporte l’identification d’une opération botnet à grande échelle et centralisée, débutée le 8 octobre 2025, ciblant l’infrastructure RDP aux États‑Unis. 🚨 L’opération utilise deux méthodes principales d’attaque: Microsoft RD Web Access Anonymous Authentication Timing Attack Scanner et Microsoft RDP Web Client Login Enumeration Check. Les schémas d’activité indiquent une campagne coordonnée visant à sonder et énumérer les accès RDP exposés aux États‑Unis. ...

Selon Logpresso (13 octobre 2025), une campagne attribuée au groupe APT nord-coréen Lazarus a visé en septembre 2025 des systèmes Windows et MacOS via de faux correctifs/updates NVIDIA, avec des objectifs d’espionnage et de gains financiers. La campagne est multiplateforme et s’appuie sur des fichiers malveillants déguisés en mises à jour NVIDIA/patchs de pilotes. Les charges utiles, écrites en Node.js et Python, établissent la persistance, collectent des informations système et d’implantation géographique, extraient des identifiants et des données de carte de paiement, et communiquent avec des serveurs C2. Les cibles incluent des actifs crypto, des institutions financières et des entités gouvernementales. ...

Selon PolySwarm, cette analyse détaille l’évolution de LockBit 5.0, un rançongiciel plus sophistiqué et multi‑plateforme qui vise des environnements Windows, Linux et VMware ESXi avec des techniques avancées d’obfuscation et d’anti‑analyse. LockBit 5.0 présente une architecture cross‑plateforme permettant des attaques unifiées à l’échelle de l’entreprise. La variante ESXi est jugée particulièrement préoccupante car elle peut compromettre des infrastructures de virtualisation entières. Le code partage des similarités avec LockBit 4.0, confirmant une évolution itérative, et le malware intègre des « garde‑fous géopolitiques ». 🧬 ...

Selon Seqrite, une campagne de phishing ciblant des utilisateurs en Colombie abuse de faux avis judiciaires en espagnol pour délivrer AsyncRAT via une chaîne d’infection multi‑étapes et des techniques d’évasion avancées. 🎣 Vecteur initial: e-mails usurpant le Bureau du Procureur général avec pièce jointe SVG contenant du JavaScript, enrichis de détails géographiques et institutionnels pour crédibiliser l’arnaque. 🔗 Chaîne d’infection: le SVG décode et dépose un HTA qui exécute un dropper VBS (actualiza.vbs) lançant un PowerShell (veooZ.ps1). Celui‑ci télécharge des charges encodées depuis des URLs dpaste, décode un loader .NET (classlibrary3.dll), puis récupère un injecteur et la charge AsyncRAT. ...

Selon Unit 42 (Palo Alto Networks), le conglomérat « Scattered Lapsus$ Hunters » — incluant Muddled Libra, Bling Libra et des acteurs LAPSUS$ — mène des campagnes coordonnées d’extorsion basées sur le vol de données contre des clients Salesforce, tout en poursuivant ses activités malgré la saisie par le FBI de domaines liés à BreachForums. • Menaces et opérations: Les acteurs ciblent des plateformes cloud, notamment des locataires Salesforce et des environnements AWS, pour exfiltrer des données clients sans déployer de chiffrement ni de ransomware, privilégiant une extorsion par vol de données. Bling Libra a lancé un modèle Extortion-as-a-Service (EaaS) avec une commission de 25–30% sur les paiements, et opère un DLS (data leak site) listant 39 organisations. Le groupe collabore avec de nouveaux collectifs, dont Crimson Collective. ...

Selon Truesec, cette seconde partie d’analyse examine en profondeur le web shell PHP « Shin », identifié lors d’une réponse à incident, et met en évidence ses fonctions de compromission avancées et ses techniques d’évasion. L’outil, attribué à un auteur indonésien, offre des capacités complètes de post‑exploitation : navigation du système de fichiers, exécution de commandes, manipulation/édition de fichiers, modification des permissions, téléversement de fichiers, et accès/gestion de bases de données via Adminer. Les paramètres sont URL‑encodés et peu obfusqués, laissant des traces dans les journaux du serveur. ...

Source: Expel (blog threat intelligence) — analyse de Marcus Hutchins. Contexte: observation d’une variante de ClickFix exploitant le cache du navigateur pour déposer un ZIP malveillant, tout en se faisant passer pour un vérificateur de conformité Fortinet. 🎣 Leurre et procédé ClickFix: la page de phishing brandée Fortinet affiche un faux chemin \\Public\Support\VPN\ForticlientCompliance.exe. Un clic copie en réalité une commande beaucoup plus longue, remplie d’espaces pour masquer la partie malveillante. Collée dans la barre d’adresse de l’Explorateur, elle lance conhost.exe --headless puis PowerShell en arrière-plan, la portion visible n’étant qu’un commentaire. ...

Selon FortiGuard Labs (Fortinet), une nouvelle campagne de malware Stealit exploite la fonctionnalité Node.js Single Executable Application (SEA) pour empaqueter et diffuser des charges utiles sous forme de binaires autonomes, dans le but d’échapper à la détection. La menace est distribuée via de faux installateurs de jeux et de VPN sur des plateformes de partage de fichiers 🎮. Stealit opère comme un RAT commercial (malware-as-a-service) proposé par abonnement, offrant des capacités de vol de données, accès à distance, contrôle de la webcam et déploiement de ransomware 🐀. La campagne cible les systèmes Windows et maintient la persistance via des scripts Visual Basic. ...

Selon un billet référencé de GitGuardian, plusieurs organisations criminelles ont formé une coalition pour mener des attaques cloud systématiques visant des identifiants exposés, notamment AWS, avec des campagnes d’extorsion orchestrées via une nouvelle plateforme de fuites. — Aperçu général — Des groupes comme Crimson Collective, ShinyHunters et Scattered Lapsus$ Hunters coordonnent des opérations d’extorsion et d’intrusion cloud. La campagne s’appuie sur des identifiants AWS comme vecteurs d’accès initiaux, exploitant la prolifération de secrets (secrets sprawl), en particulier dans les cabinets de conseil servant de points d’agrégation d’identifiants. Le contexte inclut la fuite Red Hat exposant 570 Go issus de 28 000 dépôts et affectant 800+ organisations, alimentant une exploitation en chaîne via un nouveau site de leaks. ☁️🔐 — Méthodologie d’attaque (TTPs) — ...

Source: Rapid7 Labs — Rapid7 présente l’observation d’un nouveau groupe de menace, « Crimson Collective », actif contre des environnements AWS avec un objectif d’exfiltration de données suivie d’extorsion. Le groupe revendique notamment une attaque contre Red Hat, affirmant avoir dérobé des dépôts GitLab privés. 🚨 Nature de l’attaque: le groupe exploite des clés d’accès long-terme AWS divulguées, s’authentifie (via l’UA TruffleHog), puis tente d’établir une persistance en créant des utilisateurs IAM et des clés d’accès. Lorsque possible, il attache la politique AdministratorAccess pour obtenir un contrôle total. Dans les comptes moins privilégiés, il teste l’étendue des permissions via SimulatePrincipalPolicy. ...