Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

ThreatsDay Bulletin: DNS Poisoning Flaw, Supply-Chain Heist, Rust Malware Trick and New RATs Rising

4 minute de lecture

Mis à jour :

Tendances et Vulnérabilités Cybernétiques Actuelles

Le paysage des menaces cybernétiques est en constante évolution, avec des attaquants qui ciblent des points faibles de plus en plus précis. Les méthodes d’attaque se complexifient, rendant la détection et la protection plus ardues.

Points Clés et Vulnérabilités :

  • Extension de Hijack Loader en Amérique Latine : Des campagnes de phishing utilisant des emails contenant des pièces jointes SVG ont été observées, visant à déployer le RAT PureHVNC via le loader Hijack Loader.
  • Fuite de Cyber-Armes Américaines : Un ancien employé d’un sous-traitant américain de la défense a plaidé coupable pour avoir vendu des secrets commerciaux, incluant des composants d’exploits cybernétiques, à un courtier russe de cyber-outils en échange de cryptomonnaies.
  • Fraude Mondiale via Usurpation d’Identité Vocale : L’usurpation de l’identité de l’appelant est un vecteur majeur de fraude financière et d’arnaques par ingénierie sociale, causant des pertes annuelles estimées à 850 millions d’euros.
  • Sécurisation du Web par Chrome : Google activera par défaut le paramètre “Toujours utiliser les connexions sécurisées” dans Chrome à partir d’octobre 2026, renforçant ainsi la sécurité des connexions HTTPS.
  • Exposition Massive du Réseau Énergétique Américain : Une évaluation a révélé un nombre important d’hôtes et de services exposés à Internet au sein de 21 fournisseurs d’énergie américains, incluant des services sur des ports non standard et des vulnérabilités avec des CVE exploitées en ligne.
    • CVE-s identifiées: 5 756, dont 377 exploitées en ligne, avec 21 d’entre elles sur des ports non standards.
  • Outil de Décryptage pour Midnight Ransomware : Avast a mis à disposition un outil de décryptage gratuit pour aider les victimes du ransomware Midnight à récupérer leurs fichiers.
  • Cloud Atlas Utilise d’Anciens Exploits Contre la Russie : Le groupe Cloud Atlas cible le secteur agricole russe en utilisant une campagne de phishing exploitant la vulnérabilité CVE-2017-11882 pour déployer sa backdoor VBShower.
  • Vulnérabilité Critique dans BIND9 : Une faille, CVE-2025-40778 (score CVSS : 8.6), dans le résolveur BIND 9 permet le poisoning de cache DNS.
    • CVE: CVE-2025-40778
  • Malware Rust à Double Personnalité : Il est possible de créer des binaires Rust sur Linux capables d’exécuter un programme différent et caché en fonction de l’hôte cible.
  • Phishing avec Texte Invisible : Des acteurs malveillants utilisent des caractères invisibles dans les lignes d’objet des emails pour contourner les filtres de sécurité automatisés.
  • Faille dans les En-têtes d’Email : Une vulnérabilité dans la syntaxe des en-têtes d’email permet de contourner les protocoles d’authentification comme SPF, DKIM et DMARC, facilitant la livraison d’emails usurpés.
  • Démantèlement d’un Centre de Cybercriminalité au Myanmar : Les autorités ont détruit une partie du “KK Park”, identifié comme un centre majeur d’opérations de cybercriminalité, spécialisé dans les arnaques à l’investissement.
  • Utilisation des Données LinkedIn pour l’IA : LinkedIn utilisera les données publiques des membres de certaines régions pour entraîner ses modèles d’IA générative à partir de novembre 2025.
  • Baisse des Paiements de Rançon : Le montant moyen des paiements de rançon a chuté significativement, forçant les attaquants à devenir plus ciblés dans leurs choix de victimes.
  • Faux Sites Énergétiques pour le Vol d’Identifiants : Des fausses pages web imitant des entreprises énergétiques majeures aux États-Unis sont utilisées pour collecter les identifiants des utilisateurs.
  • Attaque par Chaîne d’Approvisionnement dans la Finance de Hong Kong : Un acteur de menace a ciblé le secteur financier de Hong Kong via des attaques sur la chaîne d’approvisionnement, distribuant des packages d’installation compromis.
  • Vente d’un RAT Modulaire Abordable : Un nouveau RAT nommé Atroposia, offrant diverses capacités malveillantes, est proposé à bas prix sur le marché de la cybercriminalité, facilitant les attaques pour les acteurs peu qualifiés.
  • NetSupport RAT Distribué via des Appels à l’Action Trompeurs : Des acteurs malveillants continuent d’utiliser des leurres d’ingénierie sociale pour distribuer NetSupport RAT.

Recommandations :

  • Mise à jour des Logiciels : Maintenir les systèmes et logiciels à jour, notamment les serveurs DNS (BIND 9), pour corriger les vulnérabilités connues.
  • Renforcement des Mesures de Sécurité : Utiliser des authentifications robustes, des solutions de sécurité avancées et surveiller activement les réseaux pour détecter les activités suspectes.
  • Sensibilisation aux Menaces : Éduquer les utilisateurs sur les risques de phishing, l’usurpation d’identité et les techniques d’ingénierie sociale.
  • Gestion de la Surface d’Attaque : Les organisations, particulièrement dans les secteurs critiques comme l’énergie, doivent avoir une visibilité complète sur leur exposition à Internet, y compris sur les ports non standard et les adresses IPv6.
  • Vigilance face aux Nouveaux Outils : Être conscient de la disponibilité croissante d’outils malveillants modulaires et abordables qui abaissent le seuil de compétence requis pour lancer des attaques.

Source

Vous pourriez aimer

Weekly Update 484

1 minute de lecture

Mis à jour :

Mises à jour hebdomadaires et aperçu des menaces