TTP

Selon le Google Threat Intelligence Group (GTIG), le groupe de menace UNC6040 mène des campagnes de vishing pour compromettre les instances Salesforce des entreprises, avec pour objectif le vol de données à grande échelle et l’extorsion. Ce groupe, motivé par des gains financiers, a réussi à tromper des employés en se faisant passer pour le support informatique lors d’appels téléphoniques convaincants. Les attaques d’UNC6040 consistent principalement à manipuler les victimes pour qu’elles autorisent une application connectée malveillante sur le portail Salesforce de leur organisation. Cette application, souvent une version modifiée du Data Loader de Salesforce, n’est pas autorisée par Salesforce. Lors d’un appel de vishing, l’attaquant guide la victime pour qu’elle approuve cette application, ce qui permet à UNC6040 d’accéder et d’exfiltrer des informations sensibles directement depuis les environnements clients Salesforce compromis. ...

L’analyse publiée par Gi7w0rm relate une attaque de type FakeCaptcha qui a compromis le site légitime de l’Association Allemande pour le Droit International. Un utilisateur a été redirigé vers une page Captcha frauduleuse, prétendant être sécurisée par Cloudflare, qui lui demandait d’exécuter une commande Powershell. Cette commande effectuait une requête Web vers un site distant (amoliera[.]com) et utilisait Invoke-Expression pour exécuter le code malveillant reçu. L’attaque illustre une méthode où les attaquants exploitent la confiance des utilisateurs envers les Captchas, qui sont normalement conçus pour différencier les humains des bots. ...

L’article publié par GBHackers Security, un média reconnu dans le domaine de la cybersécurité, met en lumière l’émergence d’un nouveau malware nommé Crocodilus. Ce malware représente une menace croissante dans l’écosystème Android. Crocodilus est un cheval de Troie bancaire conçu pour prendre le contrôle total des appareils Android. Initialement détecté lors de campagnes de test avec un nombre limité d’instances actives, ce malware a rapidement évolué, montrant une augmentation des campagnes actives et un développement sophistiqué. ...

L’article provenant de SuspectFile, relayé par databreaches.net, met en lumière les failles de sécurité dans les négociations de rançons menées par le groupe de ransomware Akira. Akira a échoué à sécuriser son serveur de chat de négociation, permettant à quiconque connaissant l’adresse de suivre les interactions entre les victimes et le groupe. Deux cas ont été rapportés : une entreprise du New Jersey a payé 200 000 dollars après avoir reçu des assurances de confidentialité, et une entreprise allemande a négocié une réduction de la demande initiale de 6,9 millions de dollars à 800 000 dollars. ...

L’article publié sur le site de Yarix Labs discute de l’outil Doppelganger disponible sur GitHub, qui est pertinent dans le domaine de la cybersécurité. LSASS (Local Security Authority Subsystem Service) est un composant essentiel du système d’exploitation Windows, responsable de l’application de la politique de sécurité sur le système. Il joue un rôle fondamental dans l’authentification des utilisateurs en vérifiant les identités des utilisateurs et en gérant les sessions de sécurité. ...

Cyble, une entreprise spécialisée en cybersécurité, a publié de nouvelles informations concernant les groupes de ransomware les plus actifs en mai 2025. Dans ce rapport, Cyble met en avant les groupes SafePay et DevMan qui dominent actuellement la scène des ransomwares. Ces groupes sont identifiés comme étant particulièrement actifs et représentent une menace significative pour les entreprises et les particuliers. Le rapport de Cyble fournit des détails sur les méthodes utilisées par ces groupes, soulignant l’évolution constante des techniques d’attaque et l’importance de rester vigilant face à ces menaces. Les entreprises sont encouragées à renforcer leurs mesures de sécurité pour se protéger contre ces attaques. ...

L’article publié par CloudSEK via la plateforme BeVigil révèle une faille de sécurité critique chez un géant de l’aviation, impliquant une API non sécurisée dans un fichier JavaScript. Cette vulnérabilité a permis un accès non autorisé aux données sensibles de Microsoft Graph de plus de 50 000 utilisateurs Azure AD, y compris des cadres exécutifs. L’API exposée délivrait un jeton d’accès avec des permissions excessives telles que User.Read.All et AccessReview.Read.All, ouvrant la voie à des attaques par hameçonnage et à l’usurpation d’identité. ...

L’article publié par Trend Research met en lumière les activités du groupe APT nommé Earth Lamia, connu pour exploiter des vulnérabilités dans les applications web afin d’accéder aux organisations ciblées. Depuis 2023, Earth Lamia a principalement visé des organisations situées au Brésil, en Inde et en Asie du Sud-Est. Initialement concentré sur les services financiers, le groupe a élargi ses cibles aux secteurs de la logistique, du commerce en ligne, et plus récemment aux entreprises IT, aux universités et aux organisations gouvernementales. ...

Ce rapport, préparé par Quorum Cyber, met en lumière une campagne de malware ciblant spécifiquement le secteur de l’enseignement supérieur au Royaume-Uni. Deux universités ont été infectées par des Remote Access Trojans (RAT), indiquant une possible escalade des attaques dans ce secteur. Les RATs permettent aux attaquants de prendre le contrôle à distance des systèmes infectés, facilitant l’accès aux fichiers, la surveillance des activités et la manipulation des paramètres système. Les attaquants peuvent également introduire d’autres outils ou malwares, exfiltrer des données ou détruire des informations. Cette campagne utilise des Cloudflare Tunnels pour contourner les pare-feux et maintenir un accès persistant et discret. ...

Selon un rapport de Trend Research, Earth Lamia est un acteur de menace APT qui exploite des vulnérabilités dans les applications web pour accéder aux organisations, notamment en Asie du Sud-Est, en Inde et au Brésil. Depuis 2023, ce groupe a évolué dans ses cibles, passant des services financiers à la logistique, au commerce en ligne, et plus récemment aux entreprises IT, aux universités et aux organisations gouvernementales. Earth Lamia utilise des techniques de détection et d’exfiltration de données sophistiquées, développant et personnalisant des outils de piratage pour éviter la détection, tels que PULSEPACK et BypassBoss. Le groupe exploite principalement les vulnérabilités SQL des applications web pour accéder aux serveurs SQL des organisations ciblées. ...