Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

ThreatsDay Bulletin: FortiGate RaaS, Citrix Exploits, MCP Abuse, LiveChat Phish & More

2 minute de lecture

Mis à jour :

Panorama des menaces : RaaS, vecteurs d’attaque émergents et cybercriminalité

Le paysage actuel de la cybersécurité est marqué par une multiplication d’attaques ciblées, exploitant aussi bien des vulnérabilités critiques que des tactiques d’ingénierie sociale sophistiquées.

Points clés et vulnérabilités majeures

  • Ransomware-as-a-Service (RaaS) : Le groupe “The Gentlemen” exploite activement CVE-2024-55591 (contournement d’authentification dans FortiOS/FortiProxy). Ils s’appuient sur une base de données de 14 700 appareils déjà compromis et utilisent la technique BYOVD (Bring Your Own Vulnerable Driver) pour désactiver les solutions de sécurité au niveau du noyau.
  • Chaîne d’exploitation RCE : L’ITSM BMC FootPrints a corrigé quatre failles (CVE-2025-71257, CVE-2025-71258, CVE-2025-71259, CVE-2025-71260) permettant une exécution de code à distance (RCE) pré-authentification via une désérialisation Java.
  • Menaces émergentes :
    • CursorJack : Une technique détournant les “deep links” du protocole cursor:// (via le Model Context Protocol) pour exécuter des commandes locales.
    • Hijack Loader & SnappyClient : Un nouveau framework C2 capable de keylogging, capture d’écran et vol de données, utilisant des techniques d’évasion avancées (AMSI bypass, “Heaven’s Gate”).
    • Phishing “LiveChat” : Utilisation détournée de services de support SaaS légitimes pour orchestrer des campagnes de phishing en temps réel.
    • Attaques sur Citrix : Recrudescence d’activité sur les failles CVE-2025-5777 et CVE-2023-4966.
  • Abus de services légitimes : Exploitation croissante de Microsoft Teams pour inciter les utilisateurs à lancer “Quick Assist” et détournement de packages Packagist pour injecter des publicités malveillantes.

Recommandations de sécurité

  1. Correctifs et durcissement : Appliquer immédiatement les patchs pour les vulnérabilités critiques citées (FortiGate, Citrix, BMC FootPrints).
  2. Gestion des accès externes : Restreindre la capacité des utilisateurs externes à initier des conversations sur des plateformes comme Microsoft Teams et auditer les permissions des outils de support à distance (Quick Assist).
  3. Vigilance sur le code et les secrets : Renforcer la surveillance contre le “secrets sprawl” sur GitHub (plus de 28 millions de nouveaux secrets exposés en 2025) et scanner systématiquement les dépendances (ex: packages PHP/Packagist).
  4. Ingénierie sociale : Sensibiliser les utilisateurs aux nouvelles méthodes de phishing (CAPTCHA fake, abuse de liens de support via chat).
  5. Protection des terminaux : Adopter des solutions de détection capables d’analyser les binaires compilés en .NET Native AOT, qui permettent aux attaquants de contourner les outils d’analyse traditionnels.

Source

Vous pourriez aimer