RadioCSIRT : Edition Française

Bienvenue sur votre podcast quotidien de cybersécurité.Amazon révèle avoir identifié une infiltration liée à la Corée du Nord lors d’un recrutement IT. Un administrateur système déclaré comme basé aux États-Unis a été détecté via une latence de frappe clavier supérieure à 110 millisecondes vers les serveurs de Seattle, indiquant un pilotage distant intercontinental. L’infrastructure de contrôle a été tracée jusqu’en Chine. Amazon indique avoir bloqué plus de 1 800 tentatives de recrutement frauduleux associées à la Corée du Nord depuis avril 2024, avec une hausse trimestrielle de 27 %.Un acteur APT russe mène une campagne de phishing ciblant des entités gouvernementales des Balkans et de la région baltique. Les attaques reposent sur des pièces jointes HTML déguisées en PDF, intégrant des leurres institutionnels et des formulaires d’authentification factices. Les identifiants sont exfiltrés via formcarry.com, avec réutilisation de code JavaScript et de regex observée depuis au moins 2023.Microsoft confirme une panne globale de Microsoft Teams ayant affecté l’envoi et la réception des messages sur l’ensemble des régions et des clients. L’incident débute à 14h30 heure de la côte Est et est entièrement résolu une heure plus tard. Aucun indicateur d’activité malveillante n’est communiqué.Une campagne malware exploite des documents Microsoft Office, des fichiers SVG et des archives compressées pour compromettre des systèmes Windows. Les attaquants exploitent CVE-2017-11882, utilisent la stéganographie PNG et du process hollowing via RegAsm.exe pour livrer RATs et stealers, dont AsyncRAT, Remcos et PureLog Stealer.Aux États-Unis, des attaques d’ATM jackpotting sont attribuées à un groupe criminel déployant le malware Ploutus via accès physique aux distributeurs automatiques. La compromission repose sur la modification ou le remplacement des disques durs des ATM, permettant le contrôle du module de distribution de billets. Les pertes sont estimées à plus de 40 millions de dollars depuis 2020.On ne réfléchit pas, on patch !Sources :Amazon : https://www.clubic.com/actualite-592366-amazon-infiltre-par-un-espion-nord-coreen-finalement-repere-a-cause-de-sa-frappe-clavier.htmlAPT russe : https://strikeready.com/blog/russian-apt-actor-phishes-the-baltics-and-the-balkans/Microsoft Teams : https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-teams-is-down-and-messages-are-delayed/SVG / Office : https://cybersecuritynews.com/hackers-weaponize-svg-files-and-office-documents/ATM Ploutus : https://www.theregister.com/2025/12/19/tren_de_aragua_atm/Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité.Les autorités françaises ont arrêté un individu de 22 ans suite à la compromission du système du Ministère de l'Intérieur. L'intrusion a exposé des comptes de messagerie et documents confidentiels incluant casiers judiciaires et fichiers de personnes recherchées. L'attaque a été revendiquée sur BreachForums. Le suspect a maintenu une persistence réseau durant plusieurs jours. Le Parquet de Paris poursuit pour accès frauduleux aux systèmes de l'État en bande organisée, dix ans d'emprisonnement maximum.WatchGuard publie l'advisory WGSA-2025-00027 concernant CVE-2025-14733, Out-of-bounds Write critique dans le processus iked de Fireware OS, CVSS 9.3. Exploitation active confirmée permettant exécution de code à distance non authentifiée. Versions affectées 11.10.2 à 12.11.5 et 2025.1 à 2025.1.3. WatchGuard fournit quatre adresses IP d'acteurs malveillants. Versions corrigées disponibles.Riot Games révèle quatre CVE affectant l'UEFI de cartes mères ASUS, Gigabyte, MSI, ASRock. Défaillance d'initialisation IOMMU permet attaques DMA pré-boot. Dispositif PCIe malveillant avec accès physique peut modifier la mémoire système avant chargement OS. Carnegie Mellon CERT/CC confirme impact étendu. Mises à jour firmware disponibles.Cyderes documente CountLoader 3.2 via logiciels crackés, établit persistence mimant Google toutes les trente minutes pendant dix ans. Neuf capacités incluant propagation USB, déploie ACR Stealer. Check Point rapporte GachiLoader via YouTube Ghost Network, cent vidéos, 220.000 vues. Déploie Kidkadi avec injection PE via Vectored Exception Handling, Rhadamanthys stealer comme payload final.La CNIL sanctionne Mobius Solutions d'un million d'euros pour conservation illégale de 46 millions d'enregistrements Deezer post-rupture contractuelle. Données divulguées sur darknet depuis environnement de test non sécurisé. La CNIL confirme application extraterritoriale du RGPD.On ne réfléchit pas, on patch !Sources :Arrestation France :https://therecord.media/france-interior-ministry-hack-arrestWatchGuard :https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00027UEFI :https://www.bleepingcomputer.com/news/security/new-uefi-flaw-enables-pre-boot-attacks-on-motherboards-from-gigabyte-msi-asus-asrock/Loaders :https://thehackernews.com/2025/12/cracked-software-and-youtube-videos.htmlCNIL :https://www.zdnet.fr/actualites/fuite-massive-sur-le-darknet-la-cnil-frappe-fort-contre-un-ancien-sous-traitant-de-deezer-487023.htmVos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web :www.radiocsirt.orgNewsletter Hebdo :https://radiocsirt.substack.com

Bienvenue dans votre podcast quotidien de cybersécurité.Le groupe Clop, également suivi sous l’appellation Cl0p, mène une nouvelle campagne d’extorsion par vol de données ciblant des serveurs Gladinet CentreStack exposés sur Internet. Les investigations font état de scans actifs, de compromissions confirmées et de dépôts de notes d’extorsion. Le vecteur d’accès initial reste non identifié à ce stade, laissant ouverte l’hypothèse d’une vulnérabilité zero-day ou d’un correctif non appliqué. Cette campagne s’inscrit dans la continuité des opérations Clop contre des solutions de partage de fichiers et de transfert sécurisé.La CISA ajoute trois vulnérabilités activement exploitées à son catalogue KEV. La CVE-2025-20393 affecte plusieurs produits Cisco via une validation incorrecte des entrées. La CVE-2025-40602 concerne les appliances SonicWall SMA1000 et repose sur un défaut d’autorisation. La CVE-2025-59374 cible ASUS Live Update avec du code malveillant embarqué dans le mécanisme de mise à jour, illustrant un scénario de compromission de la supply chain.Le CERT-FR publie l’avis CERTFR-2025-AVI-1116 relatif à plusieurs vulnérabilités dans Google Chrome. Les versions antérieures à 143.0.7499.146 pour Linux et 143.0.7499.146 ou .147 pour Windows et macOS sont concernées. Les CVE CVE-2025-14765 et CVE-2025-14766 sont référencées, sans détails techniques publics sur l’impact exact.Une vulnérabilité critique FreeBSD, CVE-2025-14558, permet une exécution de code à distance via des Router Advertisement IPv6 forgés dans le cadre du mécanisme SLAAC. Le défaut de validation des messages RA conduit à une injection de commandes dans un script shell interne. L’exploitation nécessite un attaquant présent sur le même segment réseau. Le score CVSS est évalué à 9.8.Les activités cyber nord-coréennes atteignent un niveau record en 2025 avec plus de 2 milliards de dollars de cryptomonnaies dérobés selon Chainalysis. Les opérations combinent attaques sur services centralisés, compromission de wallets personnels et campagnes d’ingénierie sociale avancée, notamment via de faux recruteurs et investisseurs.FIRST met en lumière l’importance stratégique des communications en gestion d’incident, soulignant la nécessité de canaux alternatifs sécurisés, de mécanismes de coordination tierce et d’une délégation contrôlée de la communication publique afin de limiter les effets secondaires opérationnels lors d’une crise cyber.Enfin, une opération coordonnée avec le soutien d’Eurojust a permis le démantèlement de centres d’appels frauduleux en Ukraine. Le réseau, structuré et transnational, reposait sur des TTPs d’ingénierie sociale à grande échelle, avec plus de dix millions d’euros de préjudice identifié et quarante-cinq suspects au total.On ne réfléchit pas, on patch !Sources :Clop / Gladinet : https://www.bleepingcomputer.com/news/security/clop-ransomware-targets-gladinet-centrestack-servers-for-extortion/CISA KEV : https://www.cisa.gov/news-events/alerts/2025/12/17/cisa-adds-three-known-exploited-vulnerabilities-catalogCERT-FR Chrome : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1116/FreeBSD RCE : https://www.security.nl/posting/917946/Kritiek+beveiligingslek+in+FreeBSD+maakt+remote+code+execution+mogelijk?channel=rssDPRK Crypto : https://www.theregister.com/2025/12/18/north_korea_stole_2b_crypto_2025/FIRST Comms : https://www.first.org/blog/20251216-upskilling_communicationsEurojust fraude : https://www.eurojust.europa.eu/news/fraudulent-call-centres-ukraine-rolledFrance – arrestation : https://therecord.media/france-interior-ministry-hack-arrestVos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue dans votre podcast quotidien de cybersécurité.La CISA ajoute la CVE-2025-59718 à son catalogue KEV le 16 décembre. La faille affecte FortiOS, FortiSwitchMaster, FortiProxy et FortiWeb via une vérification incorrecte de signature cryptographique dans l'authentification SAML FortiCloud SSO. Un attaquant non authentifié peut contourner l'authentification via un message SAML forgé. L'exploitation active est confirmée. La CVE-2025-59719 couvre le même problème sous-jacent. Les agences fédérales doivent appliquer les correctifs avant le 23 décembre. Aucun lien avec une campagne ransomware n'est confirmé à ce stade.Le CERT-FR publie l'avis CERTFR-2025-AVI-1117 concernant GLPI. Deux vulnérabilités identifiées, CVE-2025-59935 et CVE-2025-64520, affectent les versions GLPI 9.1.0 à antérieures à 10.0.21. Les risques incluent injection XSS et contournement de politique de sécurité. Les correctifs sont disponibles via les advisories GitHub GHSA-62p9-prpq-j62q et GHSA-j8vv-9f8m-r7jx publiés le 16 décembre.Cisco signale la CVE-2025-20393, zero-day critique dans AsyncOS affectant Secure Email Gateway et Secure Email and Web Manager avec Spam Quarantine exposé sur Internet dans des configurations non standard. Exploitation active depuis fin novembre attribuée au groupe chinois UAT-9686 déployant backdoors AquaShell, tunnels AquaTunnel et Chisel, et outil AquaPurge d'effacement de logs. Liens identifiés avec UNC5174 et APT41. Aucun patch disponible. Cisco recommande restriction d'accès, segmentation réseau, et reconstruction des appliances compromises comme seule option d'éradication.SonicWall corrige la CVE-2025-40602, escalade de privilèges locale dans Appliance Management Console SMA1000. Exploitée en chaîne avec CVE-2025-23006, faille de désérialisation critique score CVSS 9.8 déjà corrigée en janvier. La combinaison permet une exécution de code root non authentifiée à distance. Découverte par Google Threat Intelligence Group. Version fixe : build 12.4.3-02856 et supérieures. Plus de 950 appliances SMA1000 restent exposées selon Shadowserver.Enfin, Recorded Future documente une campagne de phishing soutenue menée par APT28 ciblant les utilisateurs UKR.net entre juin 2024 et avril 2025. Pages de login UKR.net hébergées sur Mocky distribuées via PDF dans des emails de phishing. Liens raccourcis via tiny.cc ou tinyurl.com avec certaines redirections via sous-domaines Blogger. Capture credentials et codes 2FA. Les attaquants ont migré vers les services proxy ngrok et Serveo suite aux takedowns d'infrastructure début 2024. Opération GRU ciblant la collecte de renseignement ukrainien dans le contexte du conflit en cours.On ne réfléchit pas, on patch !Sources :CISA KEV : https://www.cisa.gov/news-events/alerts/2025/12/16/cisa-adds-one-known-exploited-vulnerability-catalogCERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1117/ Cisco AsyncOS : https://www.bleepingcomputer.com/news/security/cisco-warns-of-unpatched-asyncos-zero-day-exploited-in-attacks/SonicWall : https://www.bleepingcomputer.com/news/security/sonicwall-warns-of-new-sma1000-zero-day-exploited-in-attacks/APT28 : https://thehackernews.com/2025/12/apt28-targets-ukrainian-ukr-net-users.htmlVos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue dans votre podcast quotidien de la cybersécurité.QNAP publie une vulnérabilité de contournement d’authentification de sévérité élevée référencée sous la CVE-2025-59385. Cette faille permet à un attaquant distant d’usurper les mécanismes d’authentification et d’accéder à des ressources protégées sans identifiants. Les systèmes QTS et QuTS hero sont affectés, avec une exploitation possible à distance sans interaction utilisateur. Les correctifs sont disponibles à partir de QTS 5.2.7.3297 et QuTS hero 5.2.7 et 5.3.1 build 20251024.Une seconde vulnérabilité QNAP, la CVE-2025-62848, expose les systèmes QTS et QuTS hero à des attaques par déni de service à distance. La faille repose sur une déréférence de pointeur NULL et peut être exploitée sans authentification. L’exploitation entraîne des arrêts système et des interruptions de service. Les versions corrigées sont identiques à celles publiées pour CVE-2025-59385.Trend Micro révèle l’existence d’un contrôleur jusqu’alors inconnu associé au malware BPFDoor, permettant l’ouverture de shells inversés chiffrés, des accès directs et des mouvements latéraux sur des serveurs Linux. Le backdoor exploite les mécanismes Berkeley Packet Filter pour rester furtif et contourner les contrôles réseau. Les activités sont attribuées avec un niveau de confiance moyen au groupe APT Earth Bluecrow et ciblent les secteurs des télécommunications, de la finance et du retail en Asie et au Moyen-Orient.La CISA ajoute deux vulnérabilités activement exploitées à son catalogue Known Exploited Vulnerabilities. CVE-2025-14611 affecte Gladinet CentreStack et Triofox via des secrets cryptographiques codés en dur, tandis que CVE-2025-43529 correspond à une vulnérabilité WebKit de type use-after-free impactant plusieurs produits Apple. Les agences fédérales doivent appliquer les correctifs conformément à la directive BOD 22-01, avec une recommandation forte étendue à l’ensemble des organisations.Avast documente une nouvelle escroquerie visant les comptes WhatsApp, exploitant la fonctionnalité légitime de liaison d’appareils. Les attaquants incitent les victimes à autoriser un appareil frauduleux via de fausses pages de vérification, permettant un accès persistant aux conversations sans vol de mot de passe ni alerte de sécurité.Enfin, The Record rapporte des fuites de données majeures chez Prosper Marketplace et 700Credit, affectant près de 20 millions de personnes. Les données exposées incluent des numéros de sécurité sociale, des informations financières et des documents d’identité, illustrant une nouvelle fois les risques systémiques pesant sur la chaîne de valeur des services financiers.On ne réféchit pas, on patch !Sources :CVE-2025-59385 : https://cvefeed.io/vuln/detail/CVE-2025-59385CVE-2025-62848 : https://cvefeed.io/vuln/detail/CVE-2025-62848BPFDoor : https://www.trendmicro.com/en_us/research/25/d/bpfdoor-hidden-controller.htmlCISA KEV : https://www.cisa.gov/news-events/alerts/2025/12/15/cisa-adds-two-known-exploited-vulnerabilities-catalogEscroquerie WhatsApp : https://blog.avast.com/blog/onlinescams/whatsapppairingscamViolations de données : https://therecord.media/data-breaches-affecting-20-million-prosper-700creditVos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com