Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

⚡ Weekly Recap: NFC Fraud, Curly COMrades, N-able Exploits, Docker Backdoors & More

11 minute de lecture

Mis à jour :

Voici un aperçu des développements récents dans le domaine de la cybersécurité :

Nouvelles et Tendances en Cybersécurité

Vulnérabilités et Exploits Détectés

  • Fraude NFC Mobile (PhantomCard): Un nouveau cheval de Troie Android utilise la communication en champ proche (NFC) pour faciliter des transactions frauduleuses. Les victimes installent des applications malveillantes qui leur demandent de placer leur carte bancaire au dos de leur téléphone pour la vérification. Les données de la carte sont ensuite transmises à un serveur de relais contrôlé par l’attaquant, permettant le vol d’informations et l’obtention de biens physiques via des paiements sans contact.

  • Exploitation des Failles N-able N-central: Deux vulnérabilités dans N-able N-central (CVE-2025-8875 et CVE-2025-8876) permettant respectivement l’exécution de commandes et l’injection de commandes, sont activement exploitées. Des correctifs sont disponibles dans les versions 2025.3.1 et 2024.6 HF2. Il est recommandé d’activer l’authentification multifacteur, surtout pour les comptes administrateurs.

  • APT ‘Curly COMrades’: Un nouveau groupe d’acteurs de menace, dénommé Curly COMrades, cible la Géorgie et la Moldavie dans le cadre d’une campagne d’espionnage visant à établir un accès à long terme aux réseaux cibles. Ce groupe utilise intensivement l’utilitaire curl pour le contrôle et le transfert de données, et exploite des objets COM. Leurs activités sont alignées sur les intérêts géopolitiques de la Russie.

  • Backdoor XZ Utils dans les Images Docker: Des images Docker construites autour de la période de la compromission XZ Utils contiennent la backdoor, certaines étant toujours disponibles sur Docker Hub. Il est conseillé de n’utiliser que des images à jour pour éviter cette menace de la chaîne d’approvisionnement.

  • Exploitation d’une Façade MMC par EncryptHub: Le groupe malveillant EncryptHub, lié à la Russie, continue d’exploiter une faille corrigée dans Microsoft Windows (CVE-2025-26633, alias MSC EvilTwin) via des fichiers .msc pour distribuer des charges utiles malveillantes, notamment le voleur d’informations Fickle Stealer.

  • Collaboration ShinyHunters et Scattered Spider: ShinyHunters et Scattered Spider s’associent pour mener des attaques financièrement motivées, ciblant notamment les clients Salesforce. Ils utilisent des techniques de vishing (hameçonnage vocal) et d’ingénierie sociale ciblées, y compris des pages d’hameçonnage thématiques Okta.

  • Failles dans les Logiciels ZTNA: Des chercheurs ont découvert plusieurs failles dans les solutions d’accès réseau Zero Trust (ZTNA) de Zscaler (CVE-2025-54982), NetSkope et Check Point Perimeter 81, permettant l’escalade de privilèges et le contournement de l’authentification. Des faiblesses similaires ont été identifiées dans Cato Networks.

  • Attaque par Promptware sur Google Gemini: Une vulnérabilité dans Google Gemini permettait à des invitations Google Calendar spécialement conçues de prendre le contrôle à distance des agents Gemini, de voler des données sensibles et de détourner le contrôle des appareils domestiques intelligents. Google a corrigé le problème en renforçant les mesures de sécurité.

  • Hack des Bus Intelligents Taïwanais: Des bus intelligents taïwanais intégrant des systèmes APTS et ADAS sont vulnérables au piratage à distance. Les attaquants peuvent contourner l’authentification du routeur embarqué et prendre le contrôle des fonctionnalités du bus, y compris le suivi de la localisation et la manipulation des commandes.

  • Cmimai Stealer: Un nouveau logiciel malveillant de type voleur d’informations écrit en Visual Basic Script (VBS) a été observé. Il collecte une large gamme d’informations sur les hôtes infectés et les exfiltre via un webhook Discord.

  • Contournement de l’UAC via eudcedit.exe: Une nouvelle méthode permet de contourner le contrôle de compte d’utilisateur (UAC) sous Windows en exploitant l’utilitaire eudcedit.exe (Éditeur de caractères privés), donnant des privilèges élevés sans consentement de l’utilisateur si UAC est configuré de manière permissive.

  • Fuites d’Informations dans les Environnements Linux Multi-Utilisateurs: Des commandes Linux de base comme ps auxww peuvent être exploitées pour extraire des identifiants de base de données, des clés API et des mots de passe administratifs dans des environnements Linux partagés, sans nécessiter d’escalade de privilèges.

  • Fuites de Confidentialité Siri: Des problèmes de confidentialité ont été découverts dans Siri d’Apple, qui transmet des métadonnées sur les applications installées et actives, ainsi que des métadonnées de lecture audio, sans le contrôle ou le consentement de l’utilisateur.

  • Applications OAuth comme Outil d’Escalade de Privilèges: De fausses applications OAuth peuvent être utilisées pour l’escalade de privilèges ou le mouvement latéral dans un environnement cible. L’outil open-source OAuthSeeker peut être utilisé pour exploiter des attaques d’hameçonnage via ces applications afin de compromettre des identités dans Microsoft Azure et Office365.

  • Installer Minecraft Falsifié Distribue NjRAT: Une nouvelle campagne de logiciels malveillants utilise de faux installateurs ou mods Minecraft pour distribuer le cheval de Troie d’accès à distance NjRAT, permettant aux attaquants de contrôler entièrement les machines infectées.

  • Organisations Israéliennes Ciblées par un RAT PowerShell (ClickFix): Plusieurs organisations israéliennes ont été ciblées par des attaques d’hameçonnage utilisant des leurres de type ClickFix pour inciter les utilisateurs à exécuter des commandes PowerShell déguisées en invitations Microsoft Teams, permettant le téléchargement et l’exécution d’un RAT PowerShell.

  • Allegation de Violation de Données Kimsuky: Le groupe de pirates informatiques nord-coréens Kimsuky aurait subi une violation de données, avec la fuite de leurs outils de piratage, adresses e-mail, manuels internes et mots de passe. Les données divulguées pourraient révéler des campagnes inconnues et des compromissions non documentées.

  • Fondateurs de Samourai Wallet Plaident Coupable: Deux fondateurs de Samourai Wallet ont plaidé coupable de blanchiment d’argent, ayant facilité le blanchiment de plus de 200 millions de dollars d’actifs cryptographiques illicites.

  • Fondateur de Tornado Cash Condamné: Roman Storm, co-fondateur de Tornado Cash, a été reconnu coupable d’exploitation d’une entreprise de transfert de fonds sans licence, mais les accusations de conspiration en vue de blanchir de l’argent et de violation de sanctions n’ont pas abouti à une condamnation.

  • Inde : Arrêt des Requêtes P2P sur UPI pour Lutter contre la Fraude: La National Payments Corporation of India (NPCI) cessera la fonctionnalité de requête de collecte P2P sur le système de paiement instantané UPI à partir du 1er octobre 2025, afin de renforcer la sécurité et de prévenir la fraude.

  • Microsoft Bloquera les Types de Fichiers Dangereux dans Teams: Microsoft bloquera les types de fichiers et les URL malveillants dans les conversations et canaux Teams pour améliorer la protection contre les logiciels malveillants.

  • Ver de Clé USB Distribue un Mineur de Cryptomonnaies: Un ver basé sur USB distribue le mineur de cryptomonnaies XMRig dans le cadre d’une campagne mondiale ciblant plusieurs secteurs.

  • Failles SMM dans le Firmware UEFI AMI Aptio: Des vulnérabilités de corruption de mémoire en Mode de Gestion Système (SMM) ont été identifiées dans le firmware UEFI AMI Aptio, permettant l’escalade de privilèges et l’exécution de code arbitraire dans l’environnement SMM.

  • Ancien Ingénieur Intel Condamné pour Vol de Secrets Commerciaux: Un ancien ingénieur d’Intel a été condamné à deux ans de probation pour avoir volé des secrets commerciaux et les avoir partagés avec son nouvel employeur, Microsoft.

  • Dépôts GitHub Livrent des Logiciels Malveillants Voleurs: Des dépôts GitHub déguisés en projets légitimes distribuent des chargeurs de logiciels malveillants tels que SmartLoader, qui à son tour télécharge le voleur d’informations Rhadamanthys.

  • Campagnes d’Hameçonnage Utilisant des Lignes d’Objet Personnalisées: Les attaques d’hameçonnage utilisent des lignes d’objet, des noms de pièces jointes et des liens personnalisés pour créer un sentiment de familiarité ou d’urgence et augmenter la probabilité d’engagement.

  • Google pKVM Certifié SESIP Niveau 5: Le pKVM de Google pour Android a obtenu la certification SESIP Niveau 5, le plus haut niveau d’assurance de sécurité pour les plateformes IoT et mobiles.

  • 81% des Organisations Expédient Scemment du Code Vulnérable: Malgré 98% d’entre elles ayant subi des violations dues à du code vulnérable, 81% des organisations expédient scemment ce code, souvent pour respecter des objectifs commerciaux.

  • Entités Pakistanaises Ciblées par le Ransomware Blue Locker: Des attaques de ransomware Blue Locker ciblent le secteur pétrolier et gazier au Pakistan, utilisant un chargeur basé sur PowerShell pour désactiver les défenses de sécurité et lancer la charge utile principale.

  • Campagne d’Hameçonnage Utilisant “ん” comme Slash URL: Une campagne d’hameçonnage thématique Booking.com utilise le caractère Unicode “ん” dans les URL à la place des barres obliques pour tromper les utilisateurs et les inciter à exécuter des installateurs MSI malveillants.

  • Acteurs de la Menace Vendent l’Accès à des Comptes Compromis d’Application de la Loi: Un marché souterrain florissant permet un accès non autorisé à des comptes piratés de gouvernements et d’organisations d’application de la loi, obtenus via l’hameçonnage ou des infections de logiciels espions.

  • Chrome Teste le Blocage du Fingerprinting en Mode Incognito: L’équipe Chrome teste une fonctionnalité de blocage des scripts visant à contrecarrer les techniques de réidentification des navigateurs en mode incognito.

  • Norvège : Piratage d’un Barrage par des Hackers Pro-Russes: La police de sécurité norvégienne a déclaré que des hackers pro-russes étaient probablement responsables du sabotage d’un barrage dans le sud-ouest du pays, dans le but d’influencer et de provoquer la peur.

  • NIST Finalise la Norme de Cryptographie Légère pour Sécuriser les Appareils IoT: Le NIST a finalisé la norme de cryptographie Ascon, comprenant quatre algorithmes conçus pour les appareils IoT à faible mémoire, les tags RFID et les implants médicaux.

  • Entreprise Chinoise d’IA Mène des Campagnes de Propagande: Le gouvernement chinois recourt à des entreprises d’IA nationales pour surveiller et manipuler l’opinion publique sur les réseaux sociaux via des campagnes de propagande sophistiquées.

Points Clés et Recommandations Générales

  • Vigilance Face aux Nouvelles Menaces: Les nouvelles formes de fraude (NFC, promptware, faux installateurs) et les techniques d’exploitation avancées (contournement UAC, failles SMM) nécessitent une vigilance constante.
  • Sécurité de la Chaîne d’Approvisionnement: La présence de backdoors dans des images Docker et des dépôts GitHub souligne l’importance de vérifier la provenance et l’intégrité des composants logiciels.
  • Gestion des Privilèges et Authentification: L’activation de l’authentification multifacteur, notamment pour les comptes administrateurs, est essentielle. La gestion des permissions, y compris pour les fonctionnalités comme le presse-papiers, est cruciale pour prévenir les fuites de données.
  • Mises à Jour et Correctifs: Il est impératif d’appliquer rapidement les mises à jour et les correctifs pour les vulnérabilités connues, notamment celles activement exploitées.
  • Conscience de l’Ingénierie Sociale: Les techniques de phishing, de vishing et d’hameçonnage vocal continuent d’être des vecteurs d’attaque majeurs. La personnalisation des messages vise à accroître leur efficacité.
  • Sécurité des Environnements Cloud et Applicatifs: La gestion des applications OAuth et la sécurisation des pipelines code-à-cloud sont des préoccupations croissantes.
  • Évolution des Menaces IA: L’utilisation de l’IA par les acteurs de la menace pour la propagande et la génération de code malveillant nécessite des stratégies de défense adaptées.

Vulnérabilités Notables (avec CVE si disponibles)

  • N-able N-central: CVE-2025-8875, CVE-2025-8876
  • Microsoft Windows: CVE-2025-26633 (MSC EvilTwin), CVE-2025-53779, CVE-2025-53773
  • Zscaler: CVE-2025-54982
  • AMI Aptio UEFI Firmware: CVE-2025-33043
  • Autres mentionnées dans l’article: CVE-2025-20265 (Cisco Secure Firewall Management Center), CVE-2025-8671 (HTTP/2), CVE-2025-25256 (Fortinet FortiSIEM), CVE-2025-49457 (Zoom Clients for Windows), CVE-2025-8355, CVE-2025-8356 (Xerox FreeFlow Core), CVE-2024-42512, CVE-2024-42513, CVE-2025-1468 (OPC UA .NET Standard Stack), CVE-2025-42950, CVE-2025-42957 (SAP), CVE-2025-54472 (Apache bRPC), CVE-2025-5456, CVE-2025-5462 (Ivanti Connect Secure), CVE-2025-53652 (Jenkins), CVE-2025-49090, CVE-2025-54315 (Matrix), CVE-2025-52970 (Fortinet FortiWeb), CVE-2025-7384 (Contact Form 7, WPforms, Elementor forms plugin), CVE-2025-6186, CVE-2025-7739, CVE-2025-7734 (GitLab), CVE-2025-8341 (Grafana Infinity Datasource Plugin), CVE-2025-47227, CVE-2025-47228 (ScriptCase), CVE-2025-30404, CVE-2025-30405, CVE-2025-54949, CVE-2025-54950, CVE-2025-54951, CVE-2025-54952 (Meta ExecuTorch), CVE-2025-55154, CVE-2025-55004 (ImageMagick).

Source

Vous pourriez aimer

Weekly Update 484

1 minute de lecture

Mis à jour :

Mises à jour hebdomadaires et aperçu des menaces