TTP

🔍 Contexte Publié le 31 mars 2026 par Ofir Shaty (Unit 42 / Palo Alto Networks), cet article présente les résultats d’une recherche offensive sur la plateforme Google Cloud Platform Vertex AI, et plus précisément sur son composant Agent Engine et l’Application Development Kit (ADK). 🎯 Vulnérabilité identifiée Les chercheurs ont découvert que le Per-Project, Per-Product Service Agent (P4SA) associé à un agent IA déployé via Vertex AI Agent Engine dispose de permissions excessives accordées par défaut. En exploitant ces permissions, il est possible d’extraire les credentials du service agent suivant : ...

🏥 Contexte Source : CBS19 (presse locale texane), article publié le 31 mars 2026. L’incident concerne le Nacogdoches Memorial Hospital (NMH), établissement de santé situé à Nacogdoches, Texas (États-Unis). 🔓 Incident Le NMH a pris connaissance d’un incident de sécurité des données le 31 janvier, consécutif à une cyberattaque au cours de laquelle une partie non autorisée a compromis le réseau informatique et les systèmes d’information de l’hôpital. 📋 Impact Des informations médicales de patients ont potentiellement été exposées. Les patients potentiellement affectés ont été notifiés par courrier afin de leur permettre de prendre des mesures de protection. 🔍 Réponse à l’incident Notification des forces de l’ordre dès la découverte de l’incident. Activation d’un plan de réponse à incident. Lancement d’une investigation ayant confirmé l’accès potentiel non autorisé aux données patients. 📰 Type d’article Article de presse généraliste locale relatant une annonce d’incident de sécurité par un établissement de santé, visant à informer le public et les patients concernés. ...

🔍 Contexte Source : The Record (Recorded Future News), publié le 1 avril 2025. L’article rapporte une cyberattaque active contre Drift Protocol, une plateforme de finance décentralisée (DeFi) construite sur la blockchain Solana, fondée en 2021 et offrant des services de prêt, emprunt, trading perpétuel et spot. 💥 Incident Le mercredi 1 avril 2025, Drift Protocol a confirmé être victime d’une attaque active, entraînant la suspension des dépôts et retraits. La société a coordonné sa réponse avec plusieurs firmes de sécurité, bridges et exchanges. ...

📰 Contexte Source : The Record Media, publié le 2 avril 2026. WhatsApp (filiale de Meta) a publié une annonce officielle révélant la découverte d’une fausse version de son application mobile, conçue pour infecter des utilisateurs avec un spyware. 🎯 Nature de l’attaque La société italienne SIO, via sa filiale ASIGINT, a développé un faux client WhatsApp ciblant les iPhones. Ce client malveillant était distribué via des techniques d’ingénierie sociale hautement ciblées, incitant les victimes à télécharger l’application en dehors des canaux officiels. ...

🗞️ Contexte Article publié le 23 mars 2026 par Dr. Christopher Kunz sur Heise Security (heise.de). Il relate une réponse opérationnelle sans précédent des autorités allemandes face à une vulnérabilité zero-day critique affectant les logiciels industriels PTC Windchill et PTC FlexPLM. 🔍 Nature de la vulnérabilité Type : Faille de désérialisation (deserialization vulnerability) Score CVSS : 10 (maximum) CVE assignée : CVE-2026-4681 (attribuée dans la nuit du lundi 23 mars 2026) Impact : Permet une Remote Code Execution (RCE) sur les serveurs Windchill IoC documenté par PTC : présence du fichier GW.class sur les systèmes compromis, indiquant que l’attaquant a « weaponisé » le système avant d’exécuter du code à distance 🚔 Réponse opérationnelle du BKA Le Bundeskriminalamt (BKA) a coordonné une intervention physique nationale : ...

🌐 Contexte Publié le 31 mars 2026 par le Google Threat Intelligence Group (GTIG) / Mandiant, cet article documente une attaque de supply chain active ciblant le package NPM axios, l’une des bibliothèques JavaScript les plus populaires au monde (plus de 100 millions de téléchargements hebdomadaires pour la version 1.x). 🎯 Déroulement de l’attaque Entre le 31 mars 2026 00:21 et 03:20 UTC, un attaquant a compromis le compte mainteneur du package axios (en changeant l’adresse email associée vers ifstap@proton.me) et introduit une dépendance malveillante nommée plain-crypto-js (version 4.2.1) dans les versions axios 1.14.1 et 0.30.4. ...

🌐 Contexte Check Point Research (CPR) publie le 1er avril 2026 une analyse d’une campagne de password spraying active, attribuée avec une confiance modérée à un acteur lié à l’Iran, ciblant des environnements Microsoft 365 principalement au Moyen-Orient. 🎯 Cibles et portée La campagne a impacté : Plus de 300 organisations en Israël et plus de 25 aux Émirats arabes unis Un nombre limité de cibles en Europe, États-Unis, Royaume-Uni et Arabie Saoudite Les secteurs principalement visés incluent : ...

🔬 Contexte Publication de recherche académique (arXiv, mars 2026) conduite par des chercheurs de Stanford University, UC Davis et TU Delft. L’étude porte sur l’exposition de credentials API sur le web public via l’analyse dynamique de 10 millions de pages web issues du dataset HTTP Archive (crawl septembre 2025). 📊 Périmètre et méthodologie Les chercheurs ont utilisé TruffleHog (v3.90.8) pour détecter les credentials dans les fichiers HAR (HTTP Archive), couvrant environ 200 TB de données. Seuls les credentials vérifiés via les API officielles des fournisseurs ont été retenus, constituant une borne inférieure des expositions réelles. 14 types de services ont été analysés : AWS, Azure, Alibaba, Cloudflare, Stripe, RazorPay, Telegram, Mailchimp, SendGrid, Twilio, Slack, OpenAI, GitHub, Bitly. ...

🗓️ Contexte Publié le 20 mars 2026 par Hackread.com, cet article rapporte la revendication du groupe LAPSUS$ d’une violation de données ciblant AstraZeneca, multinationale pharmaceutique et biotechnologique de premier plan. Les affirmations ont été publiées sur un forum de hackers et sur le site officiel du groupe. 📦 Données revendiquées Le groupe affirme avoir obtenu environ 3 Go de données internes, proposées à la vente au plus offrant, comprenant : Code source (Java, Angular, Python) Secrets et credentials (clés privées, données vault) Configurations d’infrastructure cloud (AWS, Azure, Terraform) Données employés et sous-traitants Des archives au format .tar.gz ont été mentionnées comme vecteur de partage 🔬 Analyse des échantillons Hackread a examiné trois catégories d’échantillons : ...

🗓️ Contexte Analyse technique publiée le 31 mars 2026 sur opensourcemalware.com, portant sur une attaque de chaîne d’approvisionnement ciblant le paquet npm axios, l’un des plus téléchargés au monde avec plus de 40 millions de téléchargements hebdomadaires. 🎯 Vecteur d’attaque initial L’attaquant a procédé en deux temps : Création préalable du paquet malveillant plain-crypto-js (versions 4.2.0 et 4.2.1) via le compte npm nrwise (nrwise@proton.me), conçu pour imiter le légitime crypto-js Compromission des comptes npm et GitHub du mainteneur jasonsaayman (email modifié en ifstap@proton.me), permettant la publication de axios@1.14.1 et axios@0.30.4 avec plain-crypto-js comme dépendance malveillante La preuve forensique clé est l’absence de provenance OIDC sur les versions malveillantes, publiées via npm CLI avec des credentials volés, contrairement aux versions légitimes publiées via GitHub Actions. ...