Histoire en vedette

La faille de Microsoft SharePoint perturbe des serveurs dans le monde entier

Plusieurs graves vulnérabilités de type « zero-day » ont été découvertes et activement exploitées dans des environnements Microsoft SharePoint auto-hébergés, affectant des centaines d’organisations dans le monde entier. Parmi les victimes figurent des infrastructures critiques, des agences gouvernementales et une agence américaine d’armement nucléaire.

Les attaquants, qui seraient des groupes parrainés par l’État chinois, exploitent les failles pour accéder aux serveurs SharePoint, extraire des documents sensibles et, dans certains cas, déployer des logiciels rançonneurs (ransomware). Un outil malveillant connu sous le nom de « Toolshell » est utilisé pour automatiser certaines parties de l’attaque. Microsoft a publié des correctifs urgents et la CISA a ajouté les failles à sa liste de vulnérabilités connues et exploitées.

Analyse SOC : Si votre organisation utilise SharePoint sur site, appliquez immédiatement les mises à jour de sécurité de Microsoft. Cette campagne met l’accent sur le danger que représentent les acteurs parrainés par des États et sur le risque de retarder l’application de correctifs essentiels. Approach Cyber est à votre disposition pour vous aider à appliquer rapidement les correctifs, à évaluer les brèches et à mener des enquêtes judiciaires.

Autres histoires

Le paquet NPM « is », avec 2,8 millions de téléchargements hebdomadaires, a infecté des développeurs avec un logiciel malveillant.

Le paquet NPM « is », largement utilisé, a été compromis lors d’une attaque de la chaîne d’approvisionnement. Des acteurs malveillants ont détourné des comptes de mainteneurs et injecté des logiciels malveillants qui ont permis aux attaquants d’accéder à tous les appareils concernés. Le paquetage, utilisé dans d’innombrables projets JavaScript, a été téléchargé des millions de fois avant que la faille ne soit identifiée.

Analyse SOC : Cet incident nous rappelle brutalement que même les bibliothèques open-source les plus populaires ne sont pas à l’abri d’une compromission. Mettez en œuvre des contrôles de sécurité de la chaîne d’approvisionnement tels que le verrouillage des dépendances, la vérification de l’intégrité et les alertes automatiques en cas de mises à jour inhabituelles de paquets.

Une extension Q d’Amazon compromise demande à l’IA de tout effacer – et c’est parti !

L’extension officielle Amazon Q pour VS Code a été brièvement compromise, contenant une invite conçue pour effacer les répertoires personnels des utilisateurs et supprimer toutes les ressources AWS. Bien que l’attaque semble davantage destinée à démontrer qu’à causer des dommages, elle a mis en évidence de dangereuses lacunes dans la manière dont les outils basés sur l’IA sont validés et distribués.

Analyse SOC : La confiance aveugle dans les outils d’IA peut entraîner des dommages irréversibles. Les équipes de sécurité doivent évaluer la façon dont l’IA est intégrée dans les environnements de développement et introduire des politiques pour les extensions, les invites et la surveillance des résultats liés à l’IA.

Un acteur soutenu par la Russie utilise le logiciel malveillant LAMEHUG, alimenté par des LLM, pour cibler le secteur de la défense

Le groupe APT russe UAC-0001 (APT28) a lancé une nouvelle campagne ciblant le secteur de la défense et de la sécurité à l’aide d’une nouvelle souche de logiciel malveillant, LAMEHUG, alimentée par la technologie des grands modèles de langage (LLM). Le CERT-UA signale que ce logiciel malveillant est capable d’améliorer l’obscurcissement et de générer des charges utiles autonomes.

Analyse SOC : L’armement des LLM par les attaquants représente un changement de paradigme. Les équipes de cybersécurité doivent faire évoluer leurs défenses avec des outils de détection améliorés par l’IA et former les analystes à détecter des comportements d’attaque subtils et intelligents qui peuvent contourner les ensembles de règles traditionnels.

Méfiez-vous des courriers électroniques prétendant provenir de la police

Une campagne d’hameçonnage récurrente refait surface, usurpant l’identité de la police fédérale et d’Europol. Ces messages accusent faussement les destinataires de délits sexuels et tentent d’extorquer de l’argent sous la contrainte. Le ton est menaçant et manipulateur, visant à effrayer les victimes pour qu’elles se conforment à la loi.

Analyse SOC : Malgré son ancienneté, cette escroquerie fonctionne toujours. Les utilisateurs doivent toujours vérifier les affirmations suspectes et signaler les faux messages de la police à :