Histoire en vedette

La société russe APT28 déploie la porte dérobée « NotDoor » Outlook contre les entreprises des pays de l’OTAN.

Le groupe de pirates informatiques parrainé par l’État russe, connu sous le nom d’APT28, s’est vu attribuer une nouvelle porte dérobée pour Microsoft Outlook, appelée NotDoor, dans le cadre d’attaques visant plusieurs entreprises de différents secteurs dans les pays membres de l’OTAN.

NotDoor est une macro VBA pour Outlook conçue pour surveiller les courriels entrants à la recherche d’un mot déclencheur spécifique. Lorsqu’elle est détectée, elle permet aux attaquants d’exfiltrer des données, de télécharger des fichiers et d’exécuter des commandes sur l’ordinateur de la victime. Le logiciel malveillant est déployé via l’exécutable OneDrive de Microsoft à l’aide d’un chargement latéral de DLL, qui installe la porte dérobée VBA et désactive les protections de sécurité des macros.

Le logiciel malveillant prend en charge quatre commandes : cmd et cmdno pour exécuter des commandes, dwn pour exfiltrer des fichiers et upl pour déposer des fichiers sur l’ordinateur de la victime.

Analyse du SOC : Cette campagne démontre que des acteurs étatiques utilisent des applications professionnelles fiables comme infrastructure persistante de commandement et de contrôle. Les organisations devraient mettre en œuvre des contrôles de sécurité macro complets et surveiller les activités Outlook VBA dans les environnements d’entreprise.

Autres histoires

Alerte de sécurité Android : Google corrige 120 failles, dont deux attaques de type « Zero-Day ».

Google a publié en septembre 2025 des correctifs de sécurité pour Android corrigeant 120 vulnérabilités, dont deux failles de type « zero-days » (CVE-2025-38352 et CVE-2025-48543) activement exploitées dans le cadre d’attaques ciblées. Ces deux failles permettent une escalade des privilèges sans interaction avec l’utilisateur ni autorisation supplémentaire.

Le groupe d’analyse des menaces de Google a découvert une faille dans le noyau Linux, suggérant des campagnes potentielles de logiciels espions.

Analyse SOC : Les entreprises devraient donner la priorité au déploiement des correctifs de sécurité Android sur l’ensemble de leur parc d’appareils mobiles et revoir leurs politiques de sécurité en matière de BYOD. Cela souligne l’importance de maintenir les niveaux de correctifs actuels sur les appareils mobiles, en particulier pour les appareils personnels qui accèdent aux ressources de l’entreprise.

Les acteurs de la menace utilisent l’IA de HexStrike pour exploiter les failles de Citrix dans la semaine suivant leur divulgation

Les cybercriminels utilisent HexStrike AI (un outil de test de pénétration légitime) pour exploiter automatiquement les vulnérabilités de Citrix dans la semaine qui suit leur divulgation. L’outil s’intègre à plus de 150 outils de sécurité et automatise la découverte des vulnérabilités et le développement des exploits.

Les forums du Darknet montrent des criminels exploitant des failles récentes de Citrix et vendant des instances NetScaler vulnérables, ce qui réduit le délai entre la divulgation et l’exploitation.

Analyse du SOC : Cet incident met en évidence la façon dont les plateformes d’automatisation de la sécurité peuvent être adaptées à des fins offensives. Les organisations devraient raccourcir les cycles de déploiement des correctifs car les outils alimentés par l’IA accélèrent les délais d’exploitation.

Le CCB met en garde contre une campagne en cours de distribution d’applications PDF trojanisées.

Le CCB met en garde les organisations contre une campagne malveillante diffusant des éditeurs PDF ou des manuels de produits troyens. Une fois installé, ce logiciel malveillant peut voler des informations d’identification et transformer des appareils Windows en serveurs mandataires. Plusieurs incidents ont déjà été signalés et le CCB considère cette campagne comme étant à haut risque.

Analyse du SOC : Cette campagne démontre que des acteurs sophistiqués utilisent des exigences commerciales légitimes comme vecteurs d’attaque. Les organisations doivent appliquer des contrôles stricts de l’installation des logiciels afin d’empêcher les applications non autorisées.