Récap Hebdo Cyber : Arnaqueurs Britanniques et Fuite de Données BMW

Cette semaine en cybersécurité, des chercheurs ont mis au jour des alliances cachées entre des groupes de rançongiciels, la montée des plateformes de phishing alimentées par l’IA et des vulnérabilités à grande échelle affectant les systèmes de télécommunications et d’entreprise.

Des fuites de données majeures dans les services financiers et les marques de luxe ont souligné les menaces internes et les risques de la chaîne d’approvisionnement, tandis que les arrestations des hackers de Scattered Spider ont été saluées comme des succès notables de l’application de la loi.

Du piratage de serveurs VPS par des botnets à l’expansion des réseaux de désinformation à l’échelle mondiale, le paysage des menaces révèle comment la cybercriminalité, l’espionnage et la propagande se croisent de plus en plus, nécessitant des défenses plus solides et des stratégies de détection plus intelligentes.

Vulnérabilités

Mises à jour de sécurité de Jenkins corrigeant plusieurs failles

Jenkins a publié des correctifs urgents pour quatre vulnérabilités touchant ses versions hebdomadaires allant jusqu’à 2.527 et LTS jusqu’à 2.516.2. La plus sévère, CVE-2025-5115, est un problème de déni de service HTTP/2 dans le composant Jetty inclus, classé comme sévère. D’autres failles comprennent des omissions dans la vérification des permissions et un bug d’injection de message dans les journaux.

Il est fortement conseillé aux administrateurs de passer à la version hebdomadaire 2.528 ou LTS 2.516.3 ou de désactiver HTTP/2 lorsque les mises à jour immédiates ne sont pas possibles.

Attaque Pixie Dust ciblant WPS

L’attaque Pixie Dust refait surface en tant que menace significative pour la sécurité des réseaux Wi-Fi, exploitant une randomisation faible dans le protocole WPS (Wi-Fi Protected Setup). Les attaquants peuvent récupérer les PIN WPS des routeurs hors ligne, contourner les protections WPA2 et obtenir la clé pré-partagée du réseau sans passer par la brute force.

Les chercheurs soulignent que désactiver WPS ou mettre à jour le firmware reste la seule défense fiable. Les organisations devraient immédiatement auditer leur infrastructure sans fil.

Vulnérabilité de Greenshot exposant des données sensibles

Les chercheurs ont découvert une faille dans Greenshot, l’outil de capture d’écran populaire, qui pourrait exposer des informations sensibles. Cette vulnérabilité découle d’une gestion de fichiers non sécurisée et pourrait permettre aux attaquants d’accéder ou de divulguer des captures d’écran. Un correctif a été publié, et les utilisateurs sont encouragés à mettre à jour rapidement.

Vulnérabilités de Chaos Mesh impactant les charges de travail Kubernetes

Plusieurs vulnérabilités ont été identifiées dans Chaos Mesh, l’outil d’ingénierie des chaos pour le test de Kubernetes. Les défauts pourraient permettre aux attaquants d’élever leurs privilèges, d’injecter des configurations malveillantes ou de perturber la stabilité des clusters. Les organisations utilisant Chaos Mesh doivent appliquer les dernières mises à jour de sécurité.

Vulnérabilité de la bibliothèque C de Kubernetes exposant les clusters

La vulnérabilité de la bibliothèque C Client de Kubernetes expose les clusters à une potentielle élévation de privilèges et un accès API non autorisé. Les attaquants pourraient exploiter des configurations inappropriées ou des défauts API pour obtenir un contrôle plus profond sur les charges de travail. Il est conseillé de passer à des versions corrigées et de renforcer le contrôle d’accès API.

Vulnérabilité du sous-système KSMBD du noyau Linux

Une faille critique dans le sous-système KSMBD du noyau Linux permet aux attaquants d’exécuter du code à distance dans certaines configurations. Cette vulnérabilité pose un risque élevé pour les services de partage de fichiers reposant sur SMB. Les administrateurs devraient appliquer les correctifs du noyau dès que possible.

Attaque de la chaîne d’approvisionnement Shai Halud découverte

Une nouvelle attaque de chaîne d’approvisionnement nommée Shai Halud a été observée, exploitant les pipelines CI/CD et les outils de développement. Des dépendances malveillantes ont été injectées dans des constructions de confiance, pouvant potentiellement impacter les utilisateurs en aval du logiciel. Les organisations sont invitées à mettre en œuvre des pratiques strictes de signature de code et de validation de paquets.

Exploitation RCE 0-click du noyau Linux KSMBD

Des chercheurs ont démontré une exploitation RCE 0-click dans le sous-système KSMBD du noyau Linux, permettant l’exécution de code à distance sans interaction de l’utilisateur. Ce développement accroît la gravité des menaces en cours sur le noyau, soulignant l’urgence de corriger les systèmes affectés immédiatement.

Vulnérabilités XSS de Spring Framework et Microsoft dépassant 900

Deux mises à jour majeures révèlent une exposition répandue :

• Spring Framework corrige plusieurs défauts, y compris des faiblesses de validation des entrées pouvant mener à des compromissions de système.
• Microsoft confirme plus de 900 vulnérabilités XSS dans tout son écosystème, mettant en lumière l’ampleur des pratiques de code non sécurisé.

Ces deux cas soulignent le défi croissant du développement de logiciels sûrs à grande échelle.

Menaces

Connexions cachées entre des groupes de rançongiciels

Des recherches récentes montrent que les opérations de rançongiciels telles que Conti, LockBit et Evil Corp ne sont plus des concurrents isolés, mais des participants à un marché souterrain flexible. Après la démantèlement de Conti, les affiliés se sont regroupés sous de nouvelles bannières, entraînant des chevauchements dans les infrastructures et le code réutilisé. Des chercheurs ont identifié des certificats SSL partagés et des empreintes DNS passives communes, ainsi que des routines de cryptage identiques entre Black Basta et QakBot, révélant comment le code et l’infrastructure circulent librement. Cette évolution signifie que les défenseurs doivent se concentrer moins sur les noms de marque et plus sur les TTP partagés et les motifs d’infrastructure cachés.

Plateformes de phishing alimentées par l’IA en forte croissance

Le phishing entre dans une nouvelle ère avec l’adoption de plateformes alimentées par l’IA capables de générer des leurres convaincants à grande échelle. Les attaquants automatisent de plus en plus la rédaction d’e-mails, l’enregistrement de domaines et les kits de phishing d’identifiants, rendant les campagnes plus difficiles à détecter. Ces plateformes abaissent considérablement la barrière pour les cybercriminels novices tout en renforçant la portée des acteurs expérimentés. Les équipes de sécurité sont désormais confrontées au défi d’identifier les anomalies comportementales plutôt que de s’appuyer sur des indices syntaxiques.

Collaboration entre les groupes de hackers russes Gamaredon et Turla

Deux des groupes d’espionnage cybernétique les plus notoires de Russie, Gamaredon et Turla, montrent des signes de collaboration. Alors que Gamaredon est spécialisé dans la compromission initiale de cibles ukrainiennes, Turla est connu pour ses capacités d’espionnage furtives. En combinant leurs outils et infrastructures, ces groupes représentent un risque stratégique croissant pour les organisations gouvernementales et de défense.

Exploitation des vulnérabilités du gestionnaire de points de terminaison Ivanti

Les acteurs malveillants abusent de plusieurs vulnérabilités dans Ivanti Endpoint Manager Mobile (EPMM), ciblant les réseaux d’entreprise par le biais d’exploitations à distance. Ces défauts permettent aux attaquants d’obtenir une première intrusion dans l’infrastructure corporate, souvent en s’alliant avec d’autres exploits pour des mouvements latéraux. Des groupes d’états-nations et des affiliés de rançongiciels ont déjà commencé à exploiter ces vulnérabilités sur le terrain.

Application ScreenConnect armée

Dans une autre tendance d’abus de logiciels, les attaquants utilisent des outils légitimes comme l’application ScreenConnect de ConnectWise comme des armes. En déployant des installateurs trojanisés, les hackers établissent des points d’accès à distance déguisés en activités de gestion IT. Cette technique “vivre sur la terre” permet d’éviter les défenses traditionnelles et confère un contrôle persistant sur les réseaux des victimes.

Campagne de malware Belsen liée

Les chercheurs ont découvert des connexions entre une nouvelle souche de malware appelée Belsen et des ensembles d’intrusions précédemment actifs. L’analyse indique une infrastructure C2 partagée et des techniques de loader recoupant des groupes de menaces financièrement motivées. Cette découverte souligne la tendance des charges utiles rebaptisées utilisant d’anciennes fondations pour renouveler les attaques.

Botnet SystemBC touchant 1,500 serveurs VPS

Le redoutable botnet SystemBC continue d’élargir son empreinte, ayant récemment compromis plus de 1,500 serveurs VPS. Connu pour servir de proxy pour des affiliés de rançongiciels, SystemBC renforce l’anonymat en tunnelant le trafic malveillant. La hausse indique une demande persistante pour des infrastructures capables de dissimuler les opérations de commandement et de contrôle derrière des couches d’obfuscation.

Nouveau loader de malware « CountLoader »

Un nouveau loader appelé CountLoader a surgi sur les marchés souterrains, présentant un design modulaire et des tactiques d’évasion avancées. Sa capacité à livrer des charges utiles diverses – allant des chevaux de Troie bancaires aux rançongiciels – en fait un outil de grande valeur pour les groupes de cybercriminels. Les analystes notent que ses mises à jour de configuration dynamiques compliquent les efforts de blocage.

Attaque de phishing ciblant les utilisateurs de Facebook

Les utilisateurs des réseaux sociaux enfrentent de nouvelles menaces de phishing alors que les adversaires lancent des campagnes pour voler des identifiants de connexion à Facebook. Les attaques utilisent des pages de connexion trompeuses et des kits de phishing en plusieurs étapes conçus pour éviter la détection. Étant donné la centralité des comptes de médias sociaux pour le vol d’identité, l’ampleur de ces attaques pose un large défi de sécurité pour les consommateurs.

Expansion du réseau de désinformation russe

Au-delà du malware, le groupe lié à la Russie CopyCop a élargi son infrastructure de fausses nouvelles en ajoutant 200 nouveaux sites web. La campagne vise à amplifier la désinformation à l’échelle mondiale, brouillant les frontières entre des opérations psychologiques ciblées et de la propagande cybernétique. L’amplification coordonnée sur ces sites rend la détection et la suppression un défi persistent pour les défenseurs.

Fuites de données

Fuite d’informations chez FinWise exposant 689K enregistrements

American First Finance a confirmé un incident majeur impliquant un employé licencié ayant exploité un accès résiduel à sa base de données de production. La fuite a compromis près de 700,000 enregistrements sensibles, y compris des numéros de sécurité sociale et des données financières, exfiltrés à l’aide de requêtes SQL directes et de tunnels SSH. Les enquêteurs ont découvert que l’attaquant avait profité d’un compte de service archivé avec des privilèges persistants, contournant les protections standard RBAC et MFA. L’entreprise a depuis adopté un accès en temps voulu et une analyse du comportement des utilisateurs, tout en offrant aux clients concernés 24 mois de protection contre le vol d’identité.

Tiffany & Co. confirme une fuite de données

Le bijoutier de luxe Tiffany & Co. a divulgué une fuite de données ayant exposé des informations sensibles sur les employés et les clients suite à un accès non autorisé à des systèmes internes. Bien que l’entreprise n’ait pas précisé le volume, cet incident suscite des inquiétudes quant à la protection des données de la clientèle VIP. Ce fait s’ajoute à une liste croissante d’attaques visant des marques traitant avec des individus à fort potentiel financier.

Fuites de Gucci, Balenciaga et Alexander McQueen liées à une brèche chez BMW

Une massive fuite a rapporté des liens entre des fuites de données affectant des maisons de mode emblématiques telles que Gucci, Balenciaga et Alexander McQueen, prétendument connectées à une compromission plus large des systèmes de BMW. L’intrusion a exposé des documents internes, des dossiers clients et des données opérationnelles, soulevant des alertes sur les vulnérabilités de la chaîne d’approvisionnement intersectorielle. Les secteurs de la mode et de l’automobile, tous deux attrayants pour les cybercriminels, semblent désormais de plus en plus liés via des facteurs de risque communs.

Arrestation de deux hackers Scattered Spider au Royaume-Uni

Les forces de l’ordre britanniques ont arrêté deux présumés membres du groupe Scattered Spider, lié à des intrusions de haut niveau, notamment celle de MGM Resorts. Ces arrestations marquent une perturbation significative des opérations du groupe, connu pour ses attaques de SIM swap, ses campagnes de phishing et ses intrusions dans les entreprises. Bien que ces arrestations perturbent une partie de l’activité, les experts notent que le vaste réseau d’affiliés du groupe signifie qu’un risque résiduel est attendu.

Fuite de données du Grand Pare-feu de Chine

Une fuite sans précédent a exposé des ensembles de données sensibles liés à l’infrastructure du Grand Pare-feu de Chine, révélant des aperçus opérationnels sur les opérations de surveillance et les contrôles de censure. Les données compromises, apparemment accessibles sur des forums de cybercriminels, incluaient des schémas internes, des dossiers d’employés et des configurations techniques. Cet incident souligne les risques croissants lorsque des outils de sécurité d’État ou de niveau national deviennent eux-mêmes les cibles de hackers.