Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

⚡ Weekly Recap: WSUS Exploited, LockBit 5.0 Returns, Telegram Backdoor, F5 Breach Widens

5 minute de lecture

Mis à jour :

Tendances Cyber : Exploitations Actives et Nouvelles Menaces

La sécurité numérique reste un enjeu majeur avec l’émergence continue de nouvelles vulnérabilités et tactiques d’attaque. Les cybercriminels exploitent aussi bien les failles logicielles que les comportements humains pour mener leurs opérations.

Points Clés et Vulnérabilités :

  • Exploitation de WSUS : Une vulnérabilité critique (CVE-2025-59287) dans le service de mises à jour de serveurs Windows (WSUS) de Microsoft est activement exploitée. Elle permet l’exécution de code à distance, menant au déploiement de charges utiles PowerShell.
  • Campagnes de Malwares Diversifiées :
    • Des vidéos sur YouTube servent de vecteur pour distribuer des malwares voleurs de données (“stealer malware”) via des comptes piratés.
    • Des acteurs nord-coréens (groupe Lazarus) ciblent le secteur de la défense européenne avec des campagnes d’emailing sophistiquées (“Operation Dream Job”) pour diffuser des malwares.
    • Le groupe iranien MuddyWater mène une campagne d’espionnage mondial ciblant plus de 100 organisations, distribuant un backdoor nommé Phoenix via spear-phishing.
    • Le groupe “Jingle Thief” cible les environnements cloud du secteur du commerce de détail pour générer de la fraude par cartes cadeaux.
    • Un infostealer basé sur RedTiger exploite des outils de “red-teaming” pour dérober des comptes Discord, des informations de paiement et des données de portefeuille de cryptomonnaies.
    • Des malwares comme XWorm 6.0 et le backdoor Baohuo (distribué via une version modifiée de Telegram pour Android) montrent des capacités améliorées d’évasion et de vol de données.
    • Des sites WordPress sont massivement ciblés via des vulnérabilités dans les plugins GutenKit et Hunk Companion (CVE-2024-9234, CVE-2024-9707, CVE-2024-11972), permettant une prise de contrôle totale des sites.
    • Le loader brésilien Caminho utilise la stéganographie pour dissimuler des charges utiles .NET dans des images, ciblant diverses industries en Amérique du Sud, Afrique et Europe de l’Est.
  • Exploitation de Services Cloud et Plateformes :
    • Des acteurs malveillants abusent de la fonction “Direct Send” de Microsoft 365 Exchange Online pour contourner les protections d’authentification (SPF, DKIM, DMARC) dans les campagnes de phishing et BEC.
    • Une technique nommée “CoPhish” utilise les agents Copilot Studio de Microsoft pour détourner les utilisateurs vers des applications OAuth malveillantes afin de voler des jetons d’authentification.
    • L’outil open-source AzureHound est utilisé par plusieurs acteurs pour cartographier les ressources Azure et identifier les chemins d’attaque potentiels.
    • Les acteurs malveillants exploitent Azure Blob Storage à diverses étapes de leurs attaques, profitant de son rôle central dans le stockage de données.
  • Nouvelles Vulnérabilités Signalées :
    • CVE-2025-54957 (Dolby Unified Decoder)
    • CVE-2025-6950, CVE-2025-6893 (Moxa)
    • CVE-2025-36727, CVE-2025-36728 (SimpleHelp)
    • CVE-2025-8078, CVE-2025-9133 (Zyxel)
    • CVE-2025-61932 (Lanscope Endpoint Manager)
    • CVE-2025-61928 (Better Auth)
    • CVE-2025-57738 (Apache Syncope)
    • CVE-2025-40778, CVE-2025-40780, CVE-2025-8677 (BIND 9)
    • CVE-2025-11411 (Unbound)
    • CVE-2025-61865 (I-O DATA NarSuS App)
    • CVE-2025-53072, CVE-2025-62481 (Oracle E-Business Suite)
    • CVE-2025-11702, CVE-2025-10497, CVE-2025-11447 (GitLab)
    • CVE-2025-22167 (Atlassian Jira)
    • CVE-2025-54918 (Microsoft)
    • CVE-2025-52882 (Claude Code for Visual Studio Code)
    • CVE-2025-59214 (Microsoft File Explorer spoofing)
    • CVE-2025-10639, CVE-2025-10640, CVE-2025-10641 (EfficientLab WorkExaminer Professional)
  • Changements Réglementaires et de Politiques :
    • La Russie prépare une loi exigeant que les chercheurs en sécurité signalent les vulnérabilités au FSB, similaire à celle de la Chine.
    • 72 nations ont signé un traité de l’ONU contre la cybercriminalité, visant à améliorer la coopération et l’extradition, malgré des inquiétudes concernant la vie privée.
    • Mozilla impose à toutes les nouvelles extensions Firefox de déclarer explicitement la collecte et la transmission de données personnelles.
  • Nouvelles Tactiques d’Évasion : Les campagnes de phishing utilisent des QR codes dans des PDF, des pièces jointes protégées par mot de passe envoyées séparément, et des pages web protégées par CAPTCHA pour déjouer la détection.

Recommandations :

  • Mises à Jour Immédiates : Appliquer les correctifs de sécurité dès qu’ils sont disponibles, en particulier pour les vulnérabilités critiques comme celle affectant WSUS (CVE-2025-59287).
  • Validation des Dépendances : Vérifier l’intégrité des dépendances logicielles à la source (par ex. via Sigstore Cosign, osv-scanner) et non uniquement via les gestionnaires de paquets pour se prémunir des attaques de la chaîne d’approvisionnement. Utiliser des registres internes et des sommes de contrôle.
  • Vigilance Accrue : Rester alerte face aux offres d’emploi suspectes, aux emails non sollicités, et aux contenus partagés sur les plateformes publiques.
  • Sécurisation des Composants Cloud : Revoir et renforcer les configurations des services cloud (ex. Azure Blob Storage, Microsoft 365 Direct Send) pour identifier et bloquer les abus potentiels.
  • Protection des Comptes : Adopter des mesures robustes pour la protection des identifiants et des jetons d’authentification, notamment via l’authentification multifacteur.
  • Audit Régulier : Effectuer des audits réguliers des systèmes et des configurations pour détecter les outils malveillants ou les accès non autorisés.
  • Connaissance des Risques : Se tenir informé des dernières techniques d’attaque et des vulnérabilités émergentes pour mieux anticiper les menaces.

Groupes et Acteurs Impliqués :

  • LockBit (5.0, Black)
  • Lazarus Group (Nord-Coréen)
  • MuddyWater (Affilié à l’Iran)
  • Jingle Thief
  • RedTiger (Outil)
  • XWorm
  • Baohuo (Backdoor)
  • Curious Serpens (Peach Sandstorm)
  • Void Blizzard
  • Storm-0501
  • Vault Viper (Baoying Group, BBIN)

L’évolution constante des menaces souligne l’importance d’une approche proactive et continue de la cybersécurité, intégrant à la fois les mesures techniques et la sensibilisation des utilisateurs.

Source

Vous pourriez aimer

Weekly Update 484

1 minute de lecture

Mis à jour :

Mises à jour hebdomadaires et aperçu des menaces