⚡ Récapitulatif hebdomadaire : Lazarus frappe Web3, failles dans les TEE Intel/AMD, outil de fuite du Dark Web & plus

Le paysage de la cybersécurité de cette semaine a montré une augmentation des cyberattaques sophistiquées exploitant des vulnérabilités récemment découvertes et utilisant des techniques furtives pour contourner les défenses traditionnelles. L'un des développements les plus alarmants a été l'exploitation d'une faille critique dans Motex Lanscope Endpoint Manager (CVE-2025-61932) par un groupe d'espionnage chinois présumé appelé Tick. Cette faille, avec un score de gravité élevé de 9,3, a permis aux attaquants d'infiltrer des réseaux ciblés et d'implanter une porte dérobée connue sous le nom de Gokcpdoor. L'attaque était étroitement ciblée sur des secteurs alignés avec les objectifs de renseignement de l'attaquant, indiquant une opération bien planifiée et ciblée.\n\nUne autre révélation importante est venue des chercheurs qui ont découvert une attaque par canal auxiliaire physique appelée TEE.fail. Cette attaque à faible coût permet à un adversaire ayant un accès physique d'extraire des clés cryptographiques secrètes des environnements d'exécution sécurisés (TEE) d'Intel et AMD fonctionnant sur la mémoire DDR5. En utilisant un analyseur logique fait maison coûtant moins de 1 000 $, les attaquants peuvent écouter les transactions mémoire et contourner les protections des enclaves sécurisées. Cependant, cette méthode nécessite des privilèges root et une modification du pilote noyau, limitant sa praticabilité mais soulevant des inquiétudes sur la sécurité au niveau matériel.\n\nDes groupes de hackers russes ont également fait la une en menant des opérations secrètes contre des cibles ukrainiennes. Contrairement aux attaques typiques lourdes en logiciels malveillants, ces hackers ont utilisé des outils administratifs légitimes déjà présents dans les réseaux victimes. Cette approche "vivre sur place" leur a permis de rester indétectés tout en volant des données d'une grande entreprise de services et d'une agence gouvernementale plus tôt cette année. L'absence de logiciels malveillants personnalisés et l'utilisation de logiciels de confiance soulignent une tendance croissante à la furtivité et à la sophistication dans l'espionnage cybernétique.\n\nPar ailleurs, les unités cyber nord-coréennes affiliées au groupe Lazarus ont refait surface avec de nouvelles campagnes ciblant les secteurs Web3 et blockchain. Connue sous le nom de BlueNoroff, ce groupe a lancé les opérations GhostCall et GhostHire visant les cadres et développeurs dans l'espace blockchain. Utilisant des tactiques d'ingénierie sociale sur des plateformes comme Telegram et LinkedIn, ils ont envoyé de fausses invitations à des réunions et des offres d'emploi pour attirer les victimes dans des attaques de logiciels malveillants à plusieurs étapes. Ces campagnes démontrent une évolution des tactiques du groupe Lazarus, allant au-delà du simple vol d'identifiants vers une acquisition de données plus large et une compromission de la chaîne d'approvisionnement.\n\nSur le front des logiciels malveillants, un nouveau cheval de Troie bancaire Android nommé Herodotus est apparu, notable pour son comportement humain lors des opérations de contrôle à distance. Distribué via phishing SMS, il superpose de fausses écrans bancaires et intercepte les mots de passe à usage unique pour voler des identifiants. Herodotus se distingue en tapant les informations volées caractère par caractère avec des pauses aléatoires, imitant la saisie humaine pour échapper aux systèmes de détection automatisés.\n\nLes opérateurs de ransomware ont également intensifié leurs tactiques, comme le montre la nouvelle méthode du ransomware Qilin qui exécute des encryptions Linux sur Windows via le Sous-système Windows pour Linux (WSL). Cette méthode permet aux attaquants de contourner les défenses traditionnelles en utilisant des binaires Linux sur des hôtes Windows sans machines virtuelles. L'activité continue de Qilin, avec plus de 700 victimes dans 62 pays cette année, souligne la menace persistante que représentent les ransomwares à l'échelle mondiale.\n\nEnfin, l'exploitation rapide des vulnérabilités récentes reste un problème pressant. Les hackers ne perdent pas de temps à transformer des failles non corrigées en violations à grande échelle, soulignant la nécessité pour les organisations de prioriser la gestion des correctifs. Cette semaine a mis en lumière l'importance cruciale de combler rapidement les failles de sécurité pour éviter d'être victime de menaces émergentes.