🎧Au programme aujourd'hui : 🔓 Exploitation d'une extension Google Chrome Des attaquants ont ciblé les utilisateurs de l'extension Cyberhaven sur Google Chrome, exploitant des vulnérabilités pour contourner les mécanismes de sécurité et accéder à des informations confidentielles. Source : https://therecord.media/cyberhaven-hack-google-chrome-extension 🛠️ Fuite massive de données chez Builder.ai Une mauvaise configuration de stockage cloud a permis l’accès à des données personnelles identifiables et des informations sensibles de projets logiciels chez Builder.ai. Source : https://www.cysecurity.news/2024/12/builderai-data-breach-exposes-sensitive.html 🛑 AT&T et Verizon ciblés par Salt Typhoon Le groupe Salt Typhoon a tenté d’accéder à des systèmes critiques chez AT&T et Verizon, exploitant des vulnérabilités zero-day. Les réseaux sont restés sécurisés selon les entreprises. Source : https://www.bleepingcomputer.com/news/security/atandt-and-verizon-say-networks-secure-after-salt-typhoon-breach 🔧 Nouvelles tendances SSL/TLS : Rapport SANS ISC L’utilisation de TLS 1.3 a augmenté de manière significative en 2024, atteignant 30 % des serveurs web et SMTP scannés. Les versions dépréciées comme SSLv2 continuent de diminuer. Source : https://isc.sans.edu/diary/rss/31550 📢 Questions ou suggestions ? Laissez-moi un message sur RadioCSIRT : 07 68 72 20 09 🎧 Écoutez-nous et abonnez-vous sur vos plateformes préférées : Apple Podcasts, Deezer, Spotify, YouTube, Amazon Music 🌐 Site officiel RadioCSIRT : https://www.radiocsirt.org
🎙️ Au programme aujourd'hui : 🔓 Les hackers nord-coréens utilisent OtterCookie Des acteurs malveillants liés à la Corée du Nord utilisent le malware OtterCookie pour cibler les développeurs de logiciels via des offres d’emploi fictives. Celui-ci permet d'exécuter des commandes à distance et de voler des informations sensibles. Source : https://securityaffairs.com/172382/malware/north-korea-linked-actors-using-ottercookie-backdoor.html 🌐 Données de 800 000 voitures électriques exposées en ligne Un stockage non sécurisé chez Cariad, filiale de Volkswagen, a permis l’accès à des informations personnelles et géolocalisées de véhicules, exposant les utilisateurs à des risques accrus. Source : https://www.bleepingcomputer.com/news/security/customer-data-from-800-000-electric-cars-and-owners-exposed-online/ 🚨 Vol de données bancaires des clients ZAGG via une application tierce compromise Le malware injecté dans l'application FreshClick de BigCommerce a permis de voler les données des cartes bancaires des clients ZAGG, compromettant leur sécurité financière. Source : https://www.bleepingcomputer.com/news/security/hackers-steal-zagg-customers-credit-cards-in-third-party-breach/ 🛠️ Lumma Stealer cible les navigateurs pour voler des identifiants de connexion Le malware Lumma Stealer utilise des scripts PowerShell et des fichiers déguisés pour exfiltrer des mots de passe et des données sensibles depuis des navigateurs, des portefeuilles crypto, et des applications populaires. Source : https://gbhackers.com/lumma-stealer-browser-attack/ 📱 Routeurs D-Link obsolètes visés par le botnet CAPSAICIN et FICORA Les vulnérabilités dans le protocole HNAP des anciens routeurs D-Link sont exploitées par les botnets FICORA et CAPSAICIN pour des attaques DDoS et l'exécution de commandes à distance. Source : https://securereading.com/old-d-link-routers-targeted-by-capsaicin-botnet-exploiting-vulnerabilities/ 🔐 15 000 routeurs Four-Faith exposés à des exploits en raison des identifiants par défaut Une faille d'injection de commandes OS (CVE-2024-12856) est activement exploitée sur les routeurs Four-Faith, mettant en évidence les risques des configurations d'usine laissées en place. Source : https://thehackernews.com/2024/12/15000-four-faith-routers-exposed-to-new.html 📞 Déclaration d’Atos concernant une potentielle compromission Le groupe Space Bears a revendiqué l’accès à une base de données d’Atos, mais les investigations internes n’ont révélé aucune preuve de compromission ni de demande de rançon à ce jour. Source : https://atos.net/en/2024/news_2024_12_29/security-statement-2 📞 Questions ou suggestions ? Laissez-moi un message sur RadioCSIRT : 07 68 72 20 09 🎧 Écoutez-nous et abonnez-vous sur vos plateformes préférées : Apple Podcasts, Deezer, Spotify, YouTube, Amazon Music 🌐 Site officiel RadioCSIRT : https://www.radiocsirt.org
🎙️Au programme aujourd'hui : 🔓 Trio de vulnérabilités SQL Injection dans les pilotes Amazon Redshift Trois failles critiques d’injection SQL (CVE-2024-12744, CVE-2024-12745, CVE-2024-12746) ont été découvertes dans les pilotes Amazon Redshift. Ces vulnérabilités permettent une escalade de privilèges et une compromission des données sensibles. Source : https://www.cysecurity.news/2024/12/trio-of-sql-injection-vulnerabilities.html 🌐 Neuvième brèche télécom liée aux hackers chinois selon la Maison Blanche La Maison Blanche a identifié une neuvième entreprise télécom américaine touchée par la campagne de cyberespionnage chinoise menée par le groupe Salt Typhoon. Source : https://www.bleepingcomputer.com/news/security/white-house-links-ninth-telecom-breach-to-chinese-hackers/ 🚨 Exploitation active d’une faille DoS dans les pare-feu Palo Alto Networks Des attaquants exploitent la vulnérabilité CVE-2024-3393 pour redémarrer les pare-feu Palo Alto Networks, provoquant des interruptions critiques. Un correctif est disponible pour les versions supportées, et des solutions de contournement sont recommandées pour limiter les risques. Source : https://www.bleepingcomputer.com/news/security/hackers-exploit-dos-flaw-to-disable-palo-alto-networks-firewalls/ 🛠️ Multiples vulnérabilités dans le greffon Security QRadar Log Management AQL de IBM L’ANSSI met en garde contre plusieurs vulnérabilités critiques dans le greffon Security QRadar Log Management AQL de IBM. Ces failles peuvent permettre à un attaquant distant d'exécuter des commandes arbitraires ou d'exfiltrer des données sensibles. IBM recommande l’installation immédiate des correctifs disponibles pour sécuriser vos systèmes. Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-1110/ 📱 Hameçonnage ciblant les informations bancaires Les tentatives de phishing augmentent pendant les fêtes, avec des campagnes ciblant les données bancaires des utilisateurs. Une campagne récente usurpe l’identité de la Banque de Montréal (BMO) via un faux site web et des SMS frauduleux. Source : https://isc.sans.edu/diary/rss/31548 📞 Questions ou suggestions ? Laissez-moi un message sur RadioCSIRT : 07 68 72 20 09 🎧 Écoutez-nous et abonnez-vous sur vos plateformes préférées : Apple Podcasts, Deezer, Spotify, SoundCloud, YouTube, Amazon Music 🌐 Site officiel RadioCSIRT : https://www.radiocsirt.org
🎙️Au programme aujourd'hui : 🛡️ Cyberattaque contre Japan Airlines : Japan Airlines a récemment subi une cyberattaque majeure affectant ses systèmes de réservation et de billetterie. L’attaque, identifiée comme une campagne DDoS, a entraîné des retards et des annulations de vols. Les autorités japonaises enquêtent toujours pour identifier les auteurs de l’attaque et déterminer si des données sensibles ont été compromises. Source : https://therecord.media/japan-airlines-resumes-operations-after-cyberattack 🔒 Ransomware contre Pittsburgh Regional Transit : Le réseau de transport public de Pittsburgh a été touché par une attaque par ransomware, perturbant ses services ferroviaires et affectant la gestion des cartes de transport. Bien que les services aient été restaurés, l’enquête pour déterminer l’origine de l’attaque se poursuit, et aucune revendication n’a été enregistrée pour le moment. Source : https://securityaffairs.com/172333/cyber-crime/pittsburgh-regional-transit-ransomware-attack.html 📱 Menaces mobiles : iOS plus exposé au phishing que Android Une étude récente de Lookout révèle une augmentation de 17 % des attaques mobiles ciblant les entreprises, avec iOS en tête des appareils les plus exposés. Les attaquants utilisent des tactiques avancées, comme l’usurpation d’identité de dirigeants et les malwares multiplateformes, pour infiltrer les systèmes cloud des entreprises. Source : https://www.helpnetsecurity.com/2024/12/26/mobile-devices-attacks/ 🖥️ Vulnérabilité critique dans Apache Traffic Control : Une faille d’injection SQL critique (CVE-2024-45387) a été identifiée dans Apache Traffic Control, un outil clé pour les réseaux de diffusion de contenu. La faille permet l'exécution de commandes SQL arbitraires par des utilisateurs privilégiés. La Fondation Apache a publié un correctif dans la version 8.0.2. Les utilisateurs doivent mettre à jour immédiatement pour éviter une exploitation. Source : https://securereading.com/critical-apache-traffic-control-sql-injection-update-now/ ⚠️ Ransomware NotLockBit : Le ransomware NotLockBit cible les systèmes Windows et macOS avec une capacité unique d’auto-suppression, rendant la détection presque impossible. Ce ransomware chiffre les fichiers sensibles, exfiltre les données et s’efface pour ne laisser aucune trace. La vigilance et des solutions de sécurité avancées sont recommandées pour contrer cette menace évolutive. Source : https://www.cysecurity.news/2024/12/new-alert-windows-and-mac-are-target-of.html 🌐 Cyberattaque russe massive contre l’Ukraine ? L’Ukraine a subi une cyberattaque majeure orchestrée par des acteurs russes, ciblant ses registres d’État. Les systèmes du ministère de la Justice ont été affectés, interrompant des services essentiels tels que les enregistrements de droits de propriété et les documents civils. Les services partiels devraient être rétablis sous deux semaines. Source : https://www.lemondeinformatique.fr/actualites/lire-la-russie-lance-sa-plus-grosse-cyberattaque-contre-l-ukraine-95611.html 📞 Questions ou suggestions ? Laissez-moi un message sur RadioCSIRT : 07 68 72 20 09 🎧 Écoutez-nous et abonnez-vous sur vos plateformes préférées : Apple Podcasts, Deezer, Spotify, SoundCloud, YouTube, Amazon Music 🌐 Site officiel RadioCSIRT : https://www.radiocsirt.org
🎙️Au programme aujourd'hui : 🛡️ Free VPN "Big Mama" : Des risques majeurs pour les utilisateurs Le service de VPN gratuit "Big Mama" expose ses utilisateurs à des risques importants. Des failles dans la gestion des données, comme le stockage non sécurisé des journaux et une API REST vulnérable, permettent des accès non autorisés. Ces faiblesses rendent le service particulièrement attractif pour les cybercriminels exploitant les données personnelles des utilisateurs. Source : https://www.cysecurity.news/2024/12/free-vpn-big-mama-raises-security.html 🔒 Fuite de données chez American Addiction Centers Une attaque par ransomware, attribuée au groupe Rhysida, a compromis les données de plus de 400 000 patients et employés d'American Addiction Centers. Des informations sensibles, notamment des numéros de sécurité sociale et des données médicales, ont été exfiltrées. Cette attaque repose sur l'exploitation d'une vulnérabilité non corrigée sur un serveur interne. Source : https://therecord.media/data-breach-american-addiction-centers 🖥️ Dark Web : Le marché de la fraude KYC explose Des forums du dark web proposent des kits complets pour contourner les procédures de vérification KYC (Know Your Customer). Ces outils incluent des documents manipulés grâce à des modèles d'intelligence artificielle, permettant de duper des systèmes de vérification automatisés. Les cibles principales incluent les exchanges de cryptomonnaies et les plateformes de finance en ligne. Source : https://gbhackers.com/dark-web-kyc-fraud/ ⚠️ Cyberattaque contre Japan Airlines Japan Airlines a subi une cyberattaque perturbant ses systèmes de réservation et de billetterie. L’attaque, potentiellement une campagne DDoS combinée à des tentatives d’infiltration interne via phishing, a engendré des retards et des annulations de vols. Les acteurs responsables et la méthode exacte restent à confirmer. Source : https://securityaffairs.com/172319/hacking/japan-airlines-hit-cyberattack.html 📞 Questions ou suggestions ? Laissez-moi un message sur RadioCSIRT : 07 68 72 20 09 🎧 Écoutez-nous et abonnez-vous sur vos plateformes préférées : Apple Podcasts, Deezer, Spotify, SoundCloud, YouTube, Amazon Music 🌐 Site officiel RadioCSIRT : https://www.radiocsirt.org
Au programme aujourd'hui : 🛡️ La boutique de l'ESA piratée : des cartes bancaires compromises Le site officiel de la boutique de l'Agence spatiale européenne a été victime d'une attaque ciblée utilisant des scripts Magecart. Les données de paiement des clients ont été dérobées. Source : https://www.bleepingcomputer.com/news/security/european-space-agencys-official-store-hacked-to-steal-payment-cards/ 🔒 Apache Tomcat : une faille critique dévoilée Une vulnérabilité majeure dans Apache Tomcat permet l’exécution de commandes arbitraires. Des correctifs sont disponibles, mais des serveurs vulnérables pourraient rester exposés si des mesures rapides ne sont pas prises. Source : https://securereading.com/critical-apache-tomcat-flaw-how-to-secure-your-servers-now/ 🖥️ Adobe ColdFusion : exploit PoC publié Un proof-of-concept pour une faille critique dans Adobe ColdFusion a été diffusé, augmentant le risque d'attaques ciblées. Les entreprises utilisant cette plateforme doivent appliquer les correctifs sans délai. Source : https://securityaffairs.com/172281/security/adobe-coldfusion-flaw-poc.html ⚠️ Alerte CERT-FR : vulnérabilité dans Adobe ColdFusion Le CERT-FR alerte sur une faille exploitée activement dans Adobe ColdFusion, permettant l’exécution de code arbitraire. Les correctifs sont impératifs pour prévenir des attaques potentielles. Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-1106/ 🛡️ Charming Kitten : des outils avancés en action Le groupe iranien Charming Kitten déploie BellaC2 et BellaCpp, des outils de contrôle à distance sophistiqués et furtifs. Les infrastructures critiques en sont les principales cibles. Source : https://thehackernews.com/2024/12/irans-charming-kitten-deploys-bellacpp.html 📡 AndroxGh0st : le botnet évolutif Une variante de Mozi, ce botnet exploite les dispositifs IoT mal sécurisés pour étendre son réseau et mener des attaques DDoS massives. Les entreprises doivent redoubler de vigilance pour sécuriser leurs équipements connectés. Source : https://www.theregister.com/2024/12/24/androxgh0st_botnet_mozi/ 📚 Fortran : un langage toujours vivant À l’occasion du centenaire de John Backus, des initiatives modernisent Fortran pour répondre aux besoins actuels, notamment dans les calculs haute performance. Source : https://linuxfr.org/news/des-nouvelles-de-fortran-n-6-decembre-2024#toc-john-backus-est-né-il-y-a-cent-ans 🎯 Bug bounty : un hacker recruté par une région française Un pirate ayant infiltré une plateforme éducative a été embauché pour des missions de bug bounty. Ce cas met en lumière les évolutions dans la perception des talents cyber. Source : https://www.zdnet.fr/actualites/il-avait-pirate-un-espace-numerique-de-travail-de-lile-de-france-la-region-le-recrute-pour-des-missions-de-bug-bounty-403494.htm 📞 Questions ou suggestions ? Laissez-moi un message sur RadioCSIRT : 07 68 72 20 09 🎧 Écoutez-nous et abonnez-vous sur vos plateformes préférées : Apple Podcasts, Deezer, Spotify, SoundCloud, YouTube, Amazon Music 🌐 Site officiel RadioCSIRT : https://www.radiocsirt.org
🎙️Au programme aujourd'hui : 📰 The Hackers News Weekly Recap : Résumé des menaces et outils de la semaine Découvrez les faits marquants de la cybersécurité de la semaine : de l’évolution des tactiques du groupe Lazarus à des failles critiques dans des applications majeures. Une analyse indispensable pour rester informé des nouvelles tendances cyber. Source : https://thehackernews.com/2024/12/thn-weekly-recap-top-cybersecurity.html 🛡️ Rockstar2FA : La fin d’un service malveillant Le service de phishing-as-a-service (PhaaS) Rockstar2FA a été interrompu, laissant place à une alternative appelée FlowerStorm. Ce transfert illustre l’agilité des cybercriminels pour s’adapter à l’évolution du marché des outils malveillants. Source : https://thehackernews.com/2024/12/rockstar2fa-collapse-fuels-expansion-of.html 🔒 Alerte sécurité : Vulnérabilités critiques dans Tenable Security Center Le CERT-FR met en garde contre plusieurs vulnérabilités dans Tenable Security Center, permettant potentiellement une exécution de code arbitraire et une atteinte à la confidentialité des données. Les correctifs sont disponibles et doivent être appliqués sans délai. Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-1105/ 🖥️ Produits NetApp : Mettez à jour immédiatement Une vulnérabilité critique affecte plusieurs produits NetApp, compromettant la confidentialité des données. Consultez les mises à jour disponibles pour Astra Trident Autosupport et ONTAP tools. Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-1104/ 🎄 Cybersécurité pendant les fêtes : conseils et récits Cisco Talos partage des histoires personnelles et des recommandations pratiques pour sécuriser vos appareils et sensibiliser votre entourage pendant cette période festive. Source : https://blog.talosintelligence.com/welcome-to-the-party-pal-2/ 📞 Questions ou suggestions ? Laissez-moi un message sur RadioCSIRT : 07 68 72 20 09 🎧 Écoutez-nous et abonnez-vous sur vos plateformes préférées : Apple Podcasts, Deezer, Spotify, SoundCloud, YouTube, Amazon Music 🌐 Site officiel RadioCSIRT : https://www.radiocsirt.org
🎙️Au programme aujourd'hui : 🧠 L’intelligence artificielle mise au défi par le Red Teaming Un rapport détaille comment des équipes de Red Teaming utilisent l’intelligence artificielle générative pour simuler des scénarios d’attaque avancés. Ces exercices permettent de tester les défenses des systèmes critiques face à des menaces modernes. Source : https://www.theregister.com/2024/12/20/gen_ai_red_teaming/ 🔒 Arrestation d’un développeur LockBit Rostislav Panev, développeur lié au ransomware LockBit, a été arrêté pour son rôle dans la création et la maintenance de cette menace. Cette opération représente une victoire majeure dans la lutte contre les cybercriminels organisés. Source : https://thehackernews.com/2024/12/lockbit-developer-rostislav-panev.html 📄 Failles critiques dans les lecteurs PDF Cisco Talos a découvert plusieurs vulnérabilités dans Adobe Acrobat et Foxit Reader, notamment une faille de type « out-of-bounds » et une autre « use-after-free », permettant potentiellement une exécution de code à distance. Les utilisateurs sont invités à appliquer les correctifs immédiatement. Source : https://blog.talosintelligence.com/acrobat-out-of-bounds-and-foxit-use-after-free-pdf-reader-vulnerabilities-found/ 📆 Arnaque de phishing exploitant Google Calendar Une nouvelle campagne de phishing cible les utilisateurs de Google Calendar via de fausses invitations. Ces liens malveillants redirigent les victimes vers des pages de capture d’informations sensibles. Source : https://securereading.com/watch-out-new-phishing-scam-targets-google-calendar-with-fake-invites/ 📱 NSO Group jugé responsable d’un piratage de masse via WhatsApp Un tribunal a statué contre NSO Group pour son rôle dans le piratage de 1 400 utilisateurs de WhatsApp, utilisant le logiciel Pegasus. Cette décision marque une étape importante dans la responsabilisation des acteurs liés aux logiciels espions. Source : https://therecord.media/judge-rules-nso-group-liable-for-hack-of-1400-whatsapp-users 🔍 "Un clic peut coûter une fortune" Selon un rapport de Krebs on Security, les campagnes de phishing et les attaques par compromission de courriels professionnels (BEC) continuent de causer des pertes financières massives. Source : https://krebsonsecurity.com/2024/12/how-to-lose-a-fortune-with-just-one-bad-click/ 📞 Questions ou suggestions ? Laissez-moi un message sur RadioCSIRT : 07 68 72 20 09 🎧 Écoutez-nous et abonnez-vous sur vos plateformes préférées : Apple Podcasts, Deezer, Spotify, SoundCloud, YouTube, Amazon Music 🌐 Site officiel RadioCSIRT : https://www.radiocsirt.org
🎙️Au programme aujourd'hui : 🔍 Vulnérabilité critique CVE-2019-1821 Cette vulnérabilité affecte Cisco Prime Infrastructure et Cisco Evolved Programmable Network, avec un score CVSSv3 de 9.8, permettant une exécution de code à distance. Bien que publiée il y a plus de cinq ans, elle continue d'être exploitée par des ransomwares et outils DDoS. Source : https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-pi-rce 🛠️ Détections de RedLine via Splunk Deux événements récents ont mis en évidence l'activité du malware RedLine, impliquant des attaques par brute force (MITRE ATT&CK T1110) et l'exécution de commandes Windows Management Instrumentation (T1047). Source 1 : https://research.splunk.com/stories/redline_stealer/ Source 2 : https://www.infosecinstitute.com/resources/malware-analysis/redline-stealer-malware-full-analysis/?utm_source=chatgpt.com 🇷🇺 Le groupe hacktiviste XakNet Team XakNet Team s'illustre par des activités de hacktivisme, des attaques DDoS, de l'exfiltration de données et des collaborations avec des entités russes comme le GRU. Ils utilisent Telegram pour coordonner leurs opérations et diffuser leurs campagnes de désinformation. Sources : https://thehackernews.com/2023/10/pro-russian-hackers-exploiting-recent.html https://www.sentinelone.com/blog/the-good-the-bad-and-the-ugly-in-cybersecurity-week-16-5/ https://www.mandiant.com/resources/blog/gru-disruptive-playbook 🛡️ Focus sur APT29, alias Cozy Bear Ce groupe de cyber espionnage, lié aux services de renseignement russes, cible des institutions gouvernementales et organisations politiques via des campagnes sophistiquées. Leurs tactiques incluent le spear-phishing, des malwares personnalisés, et des attaques sur la chaîne d'approvisionnement. 🌐 Analyse de BreachForums Plateforme anglophone du dark web, BreachForums facilite des échanges sur les attaques DDoS, la compromission-fuite de données, et le commerce de données volées. Sources : https://www.bleepingcomputer.com/news/security/fbi-seize-breachforums-hacking-forum-used-to-leak-stolen-data/ https://krebsonsecurity.com/2024/09/the-dark-nexus-between-harm-groups-and-the-com/ https://therecord.media/breachforums-seized-by-fbi-months-after-arrest-of-alleged-administrator-dark-web-marketplace 🛠️ Vulnérabilité critique CVE-2024-12828 dans Webmin Cette faille permet une exécution de code à distance avec des privilèges root, due à un défaut de validation des chaînes utilisateur dans les requêtes CGI. Le correctif est disponible sur GitHub. Sources : https://www.zerodayinitiative.com/advisories/ZDI-24-1725/ https://vuldb.com/?id.289119 📞 Questions ou suggestions ? Laissez-moi un message sur RadioCSIRT : 07 68 72 20 09 🎧 Écoutez-nous et abonnez-vous sur vos plateformes préférées : Apple Podcasts, Deezer, Spotify, SoundCloud, YouTube, Amazon Music 🌐 Site officiel RadioCSIRT : https://www.radiocsirt.org
🎙️Au programme aujourd'hui : 🔍 Lazarus cible le secteur nucléaire Le groupe Lazarus a orchestré une campagne d’espionnage sophistiquée contre des employés du secteur nucléaire en janvier 2024. En exploitant des fichiers malveillants et des outils compromis comme TightVNC, ils ont déployé un cheval de Troie modulaire, CookiePlus, permettant des mouvements latéraux et des déploiements de charges supplémentaires. Source : https://thehackernews.com/2024/12/lazarus-group-spotted-targeting-nuclear.html 🇹🇷 TA397 espionne le secteur de la défense turque Le groupe TA397, alias Bitter, a ciblé le secteur de la défense turque via des attaques spear-phishing. Les attaquants ont utilisé des fichiers LNK malveillants et déployé des Remote Access Trojans (RAT) comme WmRAT et MiyaRAT, permettant de capturer des données sensibles et de manipuler des fichiers à distance. Source : https://securereading.com/ta397-cyber-espionage-campaign-targets-turkish-defense-sector/ 🛠️ Un Affilié de NetWalker condamné à 20 ans de prison Daniel Christian Hulea, affilié au ransomware NetWalker, a été condamné à 20 ans de prison. Il avait extorqué 21,5 millions de dollars en rançons, ciblant notamment des infrastructures critiques pendant la pandémie de COVID-19. Source : https://www.helpnetsecurity.com/2024/12/20/another-netwalker-affiliate-sentenced-to-20-years-in-prison/ 🛡️ Service Araneida lié à des opérations criminelles Araneida, un service de hacking utilisant une version piratée d’Acunetix, est lié à une entreprise informatique turque. Ce service revendique avoir compromis plus de 30 000 sites web en six mois, facilitant des reconnaissances offensives et des vols de données utilisateur. Source : https://krebsonsecurity.com/2024/12/web-hacking-service-araneida-tied-to-turkish-it-firm/ 📱 Directives de sécurité mobile publiées par la CISA La CISA a émis des recommandations pour renforcer la sécurité des appareils mobiles. Ces directives visent à contrer la montée des menaces mobiles et encouragent l’application de correctifs réguliers et l’usage de solutions robustes. Source : https://www.cysecurity.news/2024/12/cisa-issues-mobile-security-guidelines.html 🛠️ Mise à jour critique pour FortiManager Fortinet a corrigé une vulnérabilité critique affectant FortiManager, permettant potentiellement une prise de contrôle à distance. Les administrateurs sont vivement encouragés à appliquer les correctifs immédiatement. Source : https://www.cisa.gov/news-events/alerts/2024/12/20/fortinet-releases-security-updates-fortimanager 🛡️ Quatre nouvelles alertes critiques émises par le CERT-FR CERTFR-2024-AVI-1103 : Vulnérabilités multiples dans les produits IBM, incluant des failles permettant une exécution de code arbitraire à distance. Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-1103/ CERTFR-2024-AVI-1101 : Vulnérabilités dans le noyau Linux d’Ubuntu, affectant les versions 14.04 à 24.10. Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-1101/ CERTFR-2024-AVI-1099 : Vulnérabilités dans Sophos Firewall, permettant une prise de contrôle à distance. Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-1099/ CERTFR-2024-AVI-1098 : Vulnérabilités dans des produits Juniper, exposant les équipements à des attaques à distance. Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-1098/ 📞 Questions ou suggestions ? Laissez-moi un message sur RadioCSIRT : 07 68 72 20 09 🎧 Écoutez-nous et abonnez-vous sur vos plateformes préférées : Apple Podcasts, Deezer, Spotify, SoundCloud, YouTube, Amazon Music. 🌐 Site officiel RadioCSIRT : https://www.radiocsirt.org
🎙️Au programme aujourd'hui : 🔍 Escroqueries crypto sur X : les YouTubers pris pour cible Des cybercriminels se faisant passer pour des marques connues sur X (anciennement Twitter) parviennent à pirater les comptes de créateurs de contenu via des offres de sponsoring frauduleuses. Source : Ars Technica - https://arstechnica.com/tech-policy/2024/12/crypto-scammers-posing-as-real-brands-on-x-are-easily-hacking-youtubers/ 🇷🇺 Des influenceurs français sollicités par la Russie pour des campagnes pro-Kremlin Environ 2 000 influenceurs européens, dont de nombreux Français, ont été approchés pour diffuser des messages favorables au Kremlin, certains acceptant l'offre. Source : Clubic - https://www.clubic.com/actualite-547826-des-milliers-d-influenceurs-francais-sollicites-par-la-russie-plusieurs-auraient-accepte-le-marche.html 🛠️ Des milliers de téléchargements pour des paquets npm malveillants Des paquets npm usurpant des outils populaires comme typescript-eslint contiennent des logiciels espions exploitant les développeurs négligents. Source : The Hacker News - https://thehackernews.com/2024/12/thousands-download-malicious-npm.html 🛡️ Mise à jour du programme Assured CIR du NCSC britannique Le National Cyber Security Centre élargit son programme pour inclure un niveau 2, permettant aux petites organisations d'accéder à des services de réponse aux incidents. Source : NCSC - https://www.ncsc.gov.uk/blog-post/assured-cir-updates 📡 Routeurs Juniper compromis par le malware Mirai Une variante de Mirai cible les routeurs Juniper utilisant leurs identifiants par défaut, les intégrant à des botnets pour mener des attaques DDoS. Source : The Record - https://therecord.media/routers-with-default-passwords-mirai-malware-juniper 📱 Telegram accusé de promouvoir du contenu extrémiste Une étude révèle que la fonctionnalité "Canaux similaires" de Telegram recommande des canaux d’extrémisme à des utilisateurs consultant des sujets non politiques. Source : The Record - https://therecord.media/telegram-algorithm-promotes-extremist-content-researchers-say 🛡️ Trois nouvelles alertes critiques émises par l’ANSSI CERTFR-2024-AVI-1097 : Vulnérabilité d’élévation de privilèges dans Trend Micro Deep Security Agent. Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-1097/ CERTFR-2024-AVI-1096 : Vulnérabilités multiples dans les produits Fortinet. Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-1096/ CERTFR-2024-AVI-1095 : Vulnérabilités dans Google Chrome permettant l'exécution de code arbitraire. Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-1095/ 📞 Questions ou suggestions ? Laissez-moi un message sur RadioCSIRT : 07 68 72 20 09 🎧 Écoutez-nous et abonnez-vous sur vos plateformes préférées : Apple Podcasts, Deezer, Spotify, SoundCloud, YouTube, Amazon Music. 🌐 Le site officiel de RadioCSIRT : https://www.radiocsirt.org
🎙️Au programme aujourd'hui : 🔍 LastPass ciblé à nouveau : un casse numérique de 5,4 millions de dollars Des hackers ont exploité une faille critique non corrigée dans LastPass, permettant un détournement de fonds significatif via l'exfiltration de données de portefeuille numérique. Source : Clubic - https://www.clubic.com/actualite-547607-la-faille-de-lastpass-a-permis-un-nouveau-casse-de-5-4-millions-de-dollars.html 🛠️ HubPhish exploite les outils HubSpot pour des campagnes de phishing ciblées Des attaquants utilisent les intégrations HubSpot pour déployer des campagnes de phishing sophistiquées, exploitant les relations client-entreprise pour diffuser des liens malveillants. Source : The Hacker News - https://thehackernews.com/2024/12/hubphish-exploits-hubspot-tools-to.html 🎯 APT29 cible des victimes de haut niveau dans une nouvelle campagne de cyber espionnage Le groupe russe APT29, affilié au SVR, intensifie ses attaques en utilisant des malwares furtifs pour compromettre des réseaux critiques. Source : The Hacker News - https://thehackernews.com/2024/12/apt29-hackers-target-high-value-victims.html 📡 Enquête américaine sur des failles critiques dans les routeurs TP-Link Une vulnérabilité majeure dans les routeurs TP-Link pourrait être exploitée pour l'espionnage ou le détournement de trafic. Le gouvernement américain a ouvert une enquête. Source : The Register - https://www.theregister.com/2024/12/18/us_govt_probes_tplink_routers/ 🔒 CERT-UA : Nouvelle vague d'attaques ciblant les infrastructures critiques ukrainiennes Des cyberattaques coordonnées exploitant des vulnérabilités connues visent des systèmes essentiels en Ukraine. Source : CERT-UA - https://cert.gov.ua/article/6281701 🛡️ Trois nouvelles alertes critiques émises par l'ANSSI CERTFR-2024-AVI-1091 : Multiples vulnérabilités dans Apache Tomcat permettant une exécution de code arbitraire à distance et un déni de service. Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-1091/ CERTFR-2024-AVI-1093 : Multiples vulnérabilités dans Xen pouvant entraîner une atteinte à la confidentialité des données et un déni de service. Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-1093/ CERTFR-2024-AVI-1094 : Vulnérabilité dans les produits Elastic permettant une atteinte à la confidentialité des données et un contournement de la politique de sécurité. Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-1094/ 📞 Questions ou suggestions ? Laissez-moi un message sur RadioCSIRT : 07 68 72 20 09 🎧 Écoutez-nous et abonnez-vous sur vos plateformes préférées : Apple Podcasts, Deezer, Spotify, SoundCloud, YouTube, Amazon Music. 🌐 Le site officiel de RadioCSIRT : https://www.radiocsirt.org
🎙️Au programme aujourd'hui : 🔍 CISA alerte sur une vulnérabilité critique dans la plateforme ThreatQ Une injection de commande permet une exécution de code arbitraire à distance. Les versions antérieures à 5.29.3 sont concernées. Source : CISA - https://www.cisa.gov/news-events/ics-advisories/icsa-24-352-01 🛡️ La directive BOD 25-01 impose des pratiques sécurisées pour les services cloud La CISA exige un inventaire des services cloud, une surveillance renforcée et l'implémentation obligatoire de l'authentification multifacteur (MFA). Source : CISA - https://www.cisa.gov/news-events/directives/bod-25-01-implementing-secure-practices-cloud-services 🔒 Violation massive de données compromettant des millions d'utilisateurs Une base de données contenant des informations personnelles a été exfiltrée et mise en vente sur des forums du dark web. Source : CySecurity News - https://www.cysecurity.news/2024/12/massive-data-breach-puts-millions-at.html 📡 Telecom Namibia : fuite de données après un refus de rançon Le groupe Hunters International publie des données sensibles suite au refus de négociation. Plus de 400 000 fichiers exfiltrés. Source : The Record - https://therecord.media/namibia-state-telecom-provider-data-leaked-after-ransom-refusal 💼 Le spyware israélien Paragon racheté pour 500 millions de dollars AE Industrial Partners acquiert Paragon, dont le logiciel espion Graphite est utilisé par les gardes-frontières américains. Source : Clubic - https://www.clubic.com/actualite-547586-le-spyware-israelien-paragon-est-revendu-a-un-groupe-americain-pour-500-millions.html 📞 Questions ou suggestions ? Laissez-moi un message sur RadioCSIRT : 07 68 72 20 09 🎧 Écoutez-nous et abonnez-vous sur vos plateformes préférées : Apple Podcasts, Deezer, Spotify, SoundCloud, YouTube, Amazon Music. 🌐 Le site officiel de RadioCSIRT : https://www.radiocsirt.org
Au programme aujourd'hui : 🔍 LA CISA ajoute deux vulnérabilités activement exploitées à son catalogue Source : CISA - https://www.cisa.gov/news-events/alerts/2024/12/16/cisa-adds-two-known-exploited-vulnerabilities-catalog 🔒 CERT-UA alerte sur des attaques ciblant les infrastructures ukrainiennes Source : CERT-UA - https://cert.gov.ua/article/6281681 🛠️ Failles critiques dans les unités d'infodivertissement du groupe Volkswagen Source : Security Affairs - https://securityaffairs.com/172024/hacking/volkswagen-group-infotainment-unit-flaws.html 🏃♂️ Le banquier de Hive trahi par sa passion pour la course à pied Source : ZDNet - https://www.zdnet.fr/actualites/le-banquier-de-hive-trahi-par-sa-passion-de-la-course-a-pied-403101.htm#xtor=RSS-1 📱 Novispy : un spyware installé sur des appareils Android via des failles connues Source : The Hacker News - https://thehackernews.com/2024/12/novispy-spyware-installed-on.html 🛡️ Deux alertes critiques émises par l'ANSSI pour des vulnérabilités majeures CERTFR-2024-AVI-1083 Mozilla Thunderbird : https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-1083/ CERTFR-2024-AVI-1082 SYNOLOGY : https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-1082/ 📞 Questions ou suggestions ? Laissez-moi un message sur RadioCSIRT : 07 68 72 20 09 🎧 Écoutez-nous et abonnez-vous sur vos plateformes préférées : Apple Podcasts, Deezer, Spotify, SoundCloud, YouTube, Amazon Music. 🌐 Le site officiel de RadioCSIRT : https://www.radiocsirt.org
Au programme aujourd'hui : 🔍 Espionnage russe en Ukraine : le SBU met au jour une campagne impliquant des adolescents Source : The Record - https://therecord.media/ukraine-sbu-espionage-campaign-russia 🔒 Un hacker chinois inculpé pour le développement de malwares ciblant des infrastructures critiques Source : Flashpoint Blog - https://flashpoint.io/blog/china-based-hacker-charged-for-conspiring-to-develop-and-deploy-malware/ 🛡️ Analyse des menaces hybrides : les 4 phases de la cyber-guerre dans un contexte de nouvelle guerre froide Source : Flashpoint Blog- https://flashpoint.io/blog/5-key-takeaways-from-new-cold-war-hybrid-threats-webinar/ 📱 Des officiels thaïlandais ciblés par Yokai, un RAT utilisant le "DLL side-loading" Source : The Hacker News - https://thehackernews.com/2024/12/thai-officials-targeted-in-yokai.html 📞 Questions ou suggestions ? Laissez-moi un message sur RadioCSIRT : 07 68 72 20 09 🎧 Écoutez-nous et abonnez-vous sur vos plateformes préférées : Apple Podcasts, Deezer, Spotify, SoundCloud, YouTube, Amazon Music. 🌐 Le site officiel de RadioCSIRT : https://www.radiocsirt.org
Au programme aujourd'hui : 🔒 Rançongiciel Lynx : Une brèche majeure ciblant le groupe Electrica en Roumanie Source : CySecurity News 🛠️ LKQ Corporation : Une cyberattaque perturbe une filiale canadienne Source : BleepingComputer 📊 Vol massif de 390 000 comptes WordPress via une attaque de la chaîne d'approvisionnement Source : BleepingComputer 📱 Gamaredon : Nouveaux outils d’espionnage ciblant des devices Android détectés Source : Security Affairs 📞 Questions ou suggestions ? Laissez-moi un message sur RadioCSIRT : 07 68 72 20 09 🎧 Écoutez-nous et abonnez-vous sur vos plateformes préférées : Apple Podcasts, Deezer, Spotify, SoundCloud, YouTube, Amazon Music. 🌐 Le site officiel de RadioCSIRT : https://www.radiocsirt.org
🎙️ RadioCSIRT #125 - Vos actualités quotidiennes en cybersécuritéSamedi 14 décembre 2024 Au programme aujourd'hui : Alerte critique du CERT-FR sur des vulnérabilités multiples affectant IBM QRadar Source: (https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-1081/) Nouvelle vulnérabilité signalée dans Nagios XI, selon le CERT-FR (https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-1075/) Autre avertissement du CERT-FR sur des failles potentielles dans Suricata Source : (https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-1076/) Optimisation de l’accès à distance avec OpenSSH sur Debian : une analyse détaillée Source:(https://www.linuxjournal.com/content/mastering-openssh-remote-access-debian-pro) EPSS un framework indispensable sur la qualification d’une vulnérabilité par rappor au CVSS Source 1: https://www.first.org/epss/ Source 2: https://arxiv.org/abs/2302.14172 Source 3: https://arxiv.org/pdf/2302.14172 et bien entendu la hotline des auditeurs 📞 Questions ou suggestions ? Laissez-nous un message sur RadioCSIRT : 07 68 72 20 09 🎧 Écoutez-nous et abonnez-vous sur vos plateformes préférées :Apple Podcasts, Deezer, Spotify, Soundcloud, YouTube, Amazon Music. 🌐 https://www.radiocsirt.org
📋 Au programme aujourd'hui : 💻 Démantèlement d’un réseau de blanchiment cybercriminel en Europe Une opération internationale a permis de démanteler un réseau cybercriminel sophistiqué qui utilisait des comptes bancaires compromis pour blanchir des millions d’euros via des entreprises fictives et des plateformes cryptographiques. Plus d’infos : https://www.cysecurity.news/2024/12/cybercrime-network-busted-turning.html 💻 Audit de Mullvad VPN : Un modèle de transparence Un audit indépendant de Mullvad VPN a révélé un faible nombre de vulnérabilités, toutes rapidement corrigées. Cet exemple met en lumière l'importance de la transparence dans les pratiques de cybersécurité. Plus d’infos : https://www.ghacks.net/2024/12/12/mullvad-vpn-audit-low-number-of-vulnerabilities-found-and-fixed-lots-of-praise/ 💻 Nouvelles lois sur la protection des données au Salvador : Risques et opportunités Le Salvador a récemment adopté des lois ambitieuses pour protéger les données des citoyens. Cependant, ces mesures suscitent des préoccupations quant à leur impact sur les droits humains et la vie privée. Plus d’infos : https://therecord.media/el-salvador-cyber-data-protection-laws-human-rights-concerns 💻 14 Nord-Coréens accusés de fraude dans des entreprises américaines Le Département de la Justice des États-Unis a inculpé 14 ressortissants nord-coréens accusés d’avoir utilisé de fausses identités pour détourner 88 millions de dollars, qui auraient financé des activités de cybercriminalité étatique. Plus d’infos : https://therecord.media/doj-indicts-14-north-koreans-earning-88-million-at-us-firms 💻 Malware Antidot ciblant les appareils Android Une nouvelle campagne malveillante utilise des messages de phishing pour diffuser un malware ciblant les terminaux Android. Ce logiciel malveillant peut collecter des données sensibles et désactiver les antivirus. Plus d’infos : https://gbhackers.com/antidot-malware-android-attack/ 💻 Fermeture de la marketplace Rydox par le DoJ Les autorités américaines et européennes ont démantelé la marketplace Rydox, une plateforme facilitant la vente d'outils de cybercriminalité et de données volées. Plus d’infos : https://cyberscoop.com/rydox-cybercriminal-marketplace-seized-doj-albania-kosovo/ 💻 Découverte du rootkit furtif Pumakit pour Linux Un nouveau rootkit baptisé Pumakit a été détecté sur des systèmes Linux. Capable d'injecter du code dans le noyau, il est extrêmement difficile à détecter et représente une menace majeure pour les systèmes critiques. Plus d’infos : https://www.bleepingcomputer.com/news/security/new-stealthy-pumakit-linux-rootkit-malware-spotted-in-the-wild/ 📞 Questions ou suggestions ? Laissez-nous un message sur la hotline de RadioCSIRT : 07 68 72 20 09 🎧 Écoutez-nous sur vos plateformes préférées : Apple Podcasts, Deezer, Spotify, Soundcloud, YouTube, Amazon Music, et sur notre site officiel : https://www.radiocsirt.org
🎙️ RadioCSIRT #122 - Vos news quotidiennes du Mercredi 11 Décembre 2024 Au programme aujourd'hui : 💻 Démantèlement de 27 services de DDoS Booters par Europol Europol a fermé 27 services de DDoS Booters dans une opération internationale PowerOff visant à réduire les attaques pendant la période de Noël. 👉 Plus d’infos : https://www.europol.europa.eu/media-press/newsroom/news/law-enforcement-shuts-down-27-ddos-booters-ahead-of-annual-christmas-attacks 💻 Ajout d’une vulnérabilité critique au catalogue de CISA La CISA a ajouté au catalogue une vulnérabilité Microsoft critique exploitée activement : CVE-2024-49138, concernant le pilote Common Log File System (CLFS). 👉 Plus d’infos : https://www.cisa.gov/news-events/alerts/2024/12/10/cisa-adds-one-known-exploited-vulnerability-catalog 💻 Failles dans WPForms : Risque de remboursements frauduleux sur Stripe Une vulnérabilité critique affecte WPForms. 👉 Plus d’infos : https://www.bleepingcomputer.com/news/security/wpforms-bug-allows-stripe-refunds-on-millions-of-wordpress-sites/ 💻 Ivanti met en garde contre une vulnérabilité critique Un contournement d'authentification dans le module CSA peut permettre un contrôle total des appareils. 👉 Plus d’infos : https://www.bleepingcomputer.com/news/security/ivanti-warns-of-maximum-severity-csa-auth-bypass-vulnerability/ 💻 Tactiques DNS malveillantes associées à ZLoader Les opérateurs de ZLoader utilisent le DNS pour éviter la détection et prolonger leurs campagnes. 👉 Plus d’infos : https://gbhackers.com/zloader-dns-tactics/ 📞 Questions ou suggestions ? Laissez-nous un message sur la hotline des auditeurs de RadioCSIRT : 07 68 72 20 09 🎧 Écoutez-nous sur vos plateformes préférées : Apple Podcasts, Deezer, Spotify, Soundcloud, YouTube, Amazon Music, et sur notre site officiel : https://www.radiocsirt.org