Une attaque Syncjacking détourne des appareils via Chrome - Actus du 30/01/2025
Découvrez comment l'attaque Syncjacking exploite les extensions Chrome, la levée du blocage de Windows 11 pour les gamers par Microsoft, et l'arrestation de suspects suite à la saisie de serveurs de forums de piratage. Restez informé sur les dernières menaces et mises à jour technologiques!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Une nouvelle attaque Syncjacking détourne des appareils à l'aide d'extensions Chrome
Une nouvelle attaque, appelée "Browser Syncjacking", a été découverte par des chercheurs en sécurité de SquareX, exploitant une extension Chrome apparemment inoffensive pour prendre le contrôle d'un appareil. Ce processus en plusieurs étapes commence par le détournement d'un profil Google, suivi de la prise de contrôle du navigateur. L'attaquant crée un domaine Google Workspace malveillant avec des profils utilisateurs, puis publie une extension sur le Chrome Web Store, déguisée en outil utile. Grâce à l'ingénierie sociale, la victime est incitée à installer l'extension, qui se connecte discrètement à un profil géré par l'attaquant. L'extension injecte ensuite un message sur une page de support Google, incitant l'utilisateur à activer la synchronisation Chrome. Une fois synchronisés, les données de la victime, y compris mots de passe et historique de navigation, deviennent accessibles à l'attaquant. Ce dernier peut ensuite prendre le contrôle du navigateur via une mise à jour Zoom factice, permettant un accès complet aux applications web et à des actions malveillantes. SquareX souligne la nature furtive de cette attaque, rendant difficile pour les utilisateurs de détecter une compromission. Les extensions Chrome, souvent considérées comme des risques isolés, peuvent donc représenter une menace sérieuse.
Sources :
Microsoft lève le blocage de la mise à jour de Windows 11 pour les PC présentant des problèmes de jeu
Microsoft a levé un blocage qui empêchait l'installation de la mise à jour Windows 11 2024 sur les appareils avec Auto HDR activé, en raison de problèmes de jeu. En décembre, de nombreux joueurs ont signalé sur le site communautaire de Microsoft que cette fonctionnalité rendait les graphismes des jeux trop contrastés et saturés. La société a confirmé que l'activation d'Auto HDR, qui améliore la plage de couleurs et la luminosité, pouvait provoquer des gels de jeux sur les systèmes équipés d'écrans compatibles HDR. Pour éviter que ces problèmes n'affectent davantage d'utilisateurs, Microsoft avait appliqué un blocage de compatibilité sur les appareils concernés. Cependant, cette semaine, la société a annoncé que le problème connu avait été résolu dans la mise à jour préliminaire KB5050094 de janvier 2025, qui a également corrigé des problèmes de lecture audio sur les PC avec des pilotes audio USB. Les utilisateurs affectés peuvent désormais installer la mise à jour Windows 11 24H2, déployée largement depuis le 22 janvier. Toutefois, ceux dont les appareils sont touchés par plusieurs blocages de compatibilité ne pourront pas effectuer la mise à jour.
Sources :
La police saisit des serveurs de forums de piratage crackés et annulés et arrête des suspects
Le 30 janvier 2025, Europol et les forces de l'ordre allemandes ont annoncé l'arrestation de deux suspects et la saisie de 17 serveurs dans le cadre de l'Opération Talent, visant à démanteler les forums de hacking Cracked et Nulled, qui comptaient plus de 10 millions d'utilisateurs. Bien que certains membres discutaient de hacking éthique, ces forums étaient principalement connus pour leurs activités criminelles, telles que le vol de mots de passe et les attaques par credential stuffing. Ils proposaient également des outils de hacking, des scripts d'IA pour détecter des vulnérabilités et des marchés pour des données volées. Au total, 12 domaines ont été saisis, ainsi que des services associés comme Sellix, un processeur financier, et StarkRDP, un service d'hébergement. Les autorités ont également perquisitionné sept propriétés, saisissant plus de 50 appareils électroniques et environ 300 000 euros en espèces et cryptomonnaies. Les données récupérées, incluant des adresses e-mail et des IP, serviront à des enquêtes internationales contre les utilisateurs criminels. Cette opération a impliqué des forces de l'ordre de plusieurs pays, dont les États-Unis, l'Italie et l'Espagne.
Sources :
Les autorités saisissent les domaines de forums de piratage les plus populaires dans le cadre d'une vaste opération de répression contre la cybercriminalité
Une opération internationale de maintien de l'ordre a permis de démanteler plusieurs plateformes en ligne liées à la cybercriminalité, notamment Cracked, Nulled, Sellix et StarkRDP. Les domaines concernés, tels que www.cracked.io et www.nulled.to, affichent désormais un bandeau de saisie indiquant qu'ils ont été confisqués dans le cadre de l'Opération Talent, impliquant des autorités d'Australie, de France, de Grèce, d'Italie, de Roumanie, d'Espagne et des États-Unis, ainsi qu'Europol. Ces sites, qui comptaient plus de 10 millions d'utilisateurs, servaient de marchés souterrains pour des biens illégaux et des solutions de cybercriminalité, générant environ 1 million d'euros de profits. Les mainteneurs de Cracked ont confirmé la saisie sur leur canal Telegram, exprimant leur tristesse. En parallèle, deux suspects ont été arrêtés, sept propriétés fouillées, et 17 serveurs ainsi que plus de 50 appareils électroniques saisis, avec environ 300 000 euros en espèces et en cryptomonnaie confisqués. Europol a souligné que ces forums proposaient également des outils basés sur l'IA pour détecter des vulnérabilités et optimiser des attaques, renforçant ainsi l'importance de démanteler ces centres de cybercriminalité.
Sources :
Vulnérabilité de Lightning AI Studio autorisée RCE via un paramètre d'URL masqué
Des chercheurs en cybersécurité ont révélé une vulnérabilité critique dans la plateforme de développement Lightning AI Studio, permettant une exécution de code à distance. Notée 9.4 sur l'échelle CVSS, cette faille permettrait aux attaquants d'exécuter des commandes arbitraires avec des privilèges root en exploitant un paramètre URL caché. Selon le rapport de l'entreprise de sécurité Noma, cette vulnérabilité est intégrée dans un code JavaScript, offrant un accès illimité à l'environnement de développement d'une victime et la possibilité d'exécuter des commandes sur une cible authentifiée. Le paramètre caché "command" dans les URL spécifiques aux utilisateurs pourrait transmettre des instructions encodées en Base64 à exécuter sur l'hôte. Cela pourrait permettre aux attaquants d'exfiltrer des informations sensibles, comme des jetons d'accès. Pour exploiter cette faille, un attaquant n'a besoin que de connaître le nom d'utilisateur d'un profil et les détails de leur studio, accessibles publiquement. Après une divulgation responsable le 14 octobre 2024, l'équipe de Lightning AI a corrigé le problème le 25 octobre. Les chercheurs soulignent l'importance de sécuriser les outils utilisés pour le développement et le déploiement de modèles d'IA en raison de leur nature sensible.
Sources :
Le jailbreak Time Bandit ChatGPT contourne les mesures de sécurité sur les sujets sensibles
Une faille de contournement des protections de ChatGPT, nommée "Time Bandit", permet de contourner les directives de sécurité d'OpenAI concernant des sujets sensibles tels que la création d'armes, les informations nucléaires et la création de logiciels malveillants. Découverte par le chercheur en cybersécurité David Kuszmar, cette vulnérabilité repose sur une "confusion temporelle" qui empêche le modèle de déterminer s'il est dans le passé, le présent ou le futur. En exploitant cet état, Kuszmar a réussi à obtenir des instructions détaillées sur des sujets normalement protégés. Après avoir tenté de signaler cette faille à OpenAI sans succès, il a contacté des agences gouvernementales, mais n'a pas reçu d'aide. Finalement, grâce à BleepingComputer, il a pu établir un contact avec OpenAI via la plateforme de signalement de vulnérabilités VINCE. Les tests ont montré que ChatGPT pouvait être trompé pour partager des informations sensibles, bien que des tentatives similaires sur la plateforme Gemini de Google aient été moins fructueuses. OpenAI continue d'intégrer des améliorations pour contrer cette faille, mais n'a pas pu garantir une correction complète dans un délai précis.
Sources :
Analystes SOC : réinventer leur rôle grâce à l'IA
Les analystes de sécurité sont confrontés à un flot écrasant d'alertes quotidiennes, souvent des faux positifs, ce qui complique l'identification des véritables menaces. Ils passent plus de temps sur des tâches manuelles répétitives que sur des mesures de sécurité proactives. La surcharge d'outils et les données cloisonnées rendent difficile la navigation entre les plateformes de sécurité, entraînant des corrélations manquées entre les événements. L'IA, en traitant rapidement de grandes quantités de données, permet des attaques plus efficaces et difficiles à détecter, facilitant la création de courriels de phishing convaincants et de logiciels malveillants sophistiqués. Les chatbots alimentés par l'IA peuvent imiter des utilisateurs réels et guider les novices dans la cybercriminalité. Même avec des outils de détection avancés, le volume et la vitesse des cyberattaques exigent des équipes SOC qu'elles réagissent plus rapidement. Les nouveaux outils d'IA pour les SOC permettent aux équipes humaines de traiter efficacement les alertes de sécurité, tout en offrant une transparence sur le processus de triage. En automatisant le triage et en suggérant des remédiations précises, l'IA réduit considérablement la charge de travail et les temps de réponse, permettant aux analystes de se concentrer sur les menaces réelles plutôt que sur des processus fastidieux.
Sources :
La base de données d'IA DeepSeek dévoilée : plus d'un million de lignes de journal et des clés secrètes divulguées
DeepSeek, une startup chinoise d'intelligence artificielle, a récemment attiré l'attention en raison d'une exposition de données sensibles sur Internet. Un chercheur en sécurité de Wiz a révélé que la base de données ClickHouse de DeepSeek, accessible sans authentification, permettait un contrôle total sur les opérations de la base de données, exposant plus d'un million de lignes de journaux contenant des historiques de chat, des clés secrètes et d'autres informations critiques. Bien que DeepSeek ait corrigé cette vulnérabilité après avoir été contacté par Wiz, des inquiétudes subsistent quant à la sécurité des données. La startup, qui a connu une ascension fulgurante grâce à ses modèles open-source, a également été la cible d'attaques malveillantes à grande échelle, entraînant une pause temporaire des inscriptions. Parallèlement, DeepSeek fait face à des interrogations sur ses politiques de confidentialité et ses liens avec la Chine, suscitant des préoccupations de sécurité nationale aux États-Unis. Des régulateurs européens, comme le Garante en Italie et la Commission irlandaise de protection des données, ont également demandé des éclaircissements sur ses pratiques de gestion des données. Des enquêtes sont en cours pour déterminer si DeepSeek a utilisé l'API d'OpenAI sans autorisation.
Sources :
Des failles non corrigées de PHP Voyager laissent les serveurs ouverts aux exploits RCE en un clic
Trois vulnérabilités de sécurité ont été révélées dans le package open-source PHP Voyager, permettant à un attaquant d'exécuter du code à distance en un clic sur les instances affectées. Selon le chercheur Yaniv Nizry, lorsqu'un utilisateur authentifié de Voyager clique sur un lien malveillant, des attaquants peuvent exécuter du code arbitraire sur le serveur. Les problèmes identifiés, non corrigés à ce jour malgré une divulgation responsable le 11 septembre 2024, incluent : CVE-2024-55417, une vulnérabilité d'écriture de fichiers arbitraires dans le point de terminaison "/admin/media/upload" ; CVE-2024-55416, une vulnérabilité XSS réfléchie dans "/admin/compass" ; et CVE-2024-55415, une vulnérabilité de fuite et de suppression de fichiers. Un attaquant peut exploiter la fonction de téléchargement de médias de Voyager pour contourner la vérification du type MIME et télécharger un fichier malveillant, entraînant une exécution de code à distance. Cette vulnérabilité peut être combinée avec CVE-2024-55416, permettant l'exécution de JavaScript arbitraire. CVE-2024-55415 permet également de supprimer des fichiers arbitraires ou d'extraire leur contenu. En l'absence de correctif, les utilisateurs sont conseillés de faire preuve de prudence lors de l'utilisation de Voyager.
Sources :
Un nouveau botnet Aquabot exploite la faille CVE-2024-41710 des téléphones Mitel pour des attaques DDoS
Une variante du botnet Mirai, nommée Aquabot, a été observée exploitant activement une vulnérabilité de gravité moyenne affectant les téléphones Mitel, dans le but de les intégrer à un réseau capable de mener des attaques par déni de service distribué (DDoS). La vulnérabilité, identifiée comme CVE-2024-41710 (score CVSS : 6.8), est une injection de commande dans le processus de démarrage, permettant à un acteur malveillant d'exécuter des commandes arbitraires. Elle touche plusieurs modèles de téléphones Mitel et a été corrigée en juillet 2024. Des tentatives d'exploitation ont été détectées depuis janvier 2025, utilisant un exploit de type "proof-of-concept" (PoC) publié en août. Aquabot, connu depuis novembre 2023, a été conçu pour DDoS et présente une nouvelle fonction "report_kill" pour signaler au serveur de commande et contrôle (C2) lorsqu'un signal d'arrêt est détecté. Les acteurs de la menace semblent proposer ce réseau compromis comme un service DDoS sur Telegram. Ce développement souligne la persistance de Mirai, qui continue d'affecter des dispositifs connectés à Internet souvent mal sécurisés, facilitant ainsi les attaques DDoS.
Sources :
« L’absence d’innovation mène à la perte » : comment l’armée forme des jeunes à combattre les menaces de l’IA
Dans un exercice de cybersécurité, des jeunes sont répartis en trois équipes pour simuler des affrontements dans un cyberespace inspiré des tensions géopolitiques actuelles. Le Contre-Amiral Vincent Sébastien, adjoint au COMCYBER, souligne que l'innovation est cruciale dans la lutte informationnelle, où chaque avancée technologique peut être détournée. Les équipes doivent pirater les infrastructures adverses tout en protégeant les leurs, tout en prenant conscience que leurs actions influencent la population. Un réseau social fictif, alimenté par une IA, force les étudiants à interagir avec des publications générées par la machine, où l'incapacité à contrer les fausses informations entraîne une perte de points et de réputation pour leur pays fictif. Le général Burkhard a qualifié TikTok d'« arme informationnelle », illustrant la méfiance croissante de l'armée envers les réseaux sociaux. Le Contre-Amiral anticipe des attaques automatisées, soulignant l'importance du travail d'équipe pour répondre à ces menaces. Cet exercice met en lumière les défis futurs que les experts en cybersécurité devront relever face à des technologies de plus en plus sophistiquées et à des manipulations de l'information.
Sources :
Le nouveau malware botnet Aquabotv3 cible la faille d'injection de commande Mitel
Un nouveau variant de malware de botnet, Aquabotv3, a été identifié exploitant une vulnérabilité de commande par injection (CVE-2024-41710) dans les téléphones SIP Mitel. Découvert par l'équipe de sécurité d'Akamai, ce variant est le troisième de la famille Aquabot, introduite en 2023. Aquabotv3 se distingue par sa capacité à détecter les tentatives d'arrêt et à les signaler à son serveur de commande et de contrôle (C2), une fonctionnalité atypique pour les botnets. La vulnérabilité ciblée affecte les séries 6800, 6900 et 6900w de Mitel, permettant à un attaquant authentifié d'exécuter des commandes arbitraires. Mitel a publié des correctifs en juillet 2024, mais Aquabotv3 a été le premier à exploiter cette faille. Les attaques nécessitent une authentification, suggérant que le botnet utilise des techniques de brute force pour accéder aux dispositifs. Une fois installé, Aquabotv3 se connecte à son C2 pour recevoir des instructions et tente de se propager à d'autres appareils IoT vulnérables. Son objectif principal est de constituer un essaim pour des attaques par déni de service distribué (DDoS), promues sur Telegram par ses opérateurs.
Sources :
L'outil Solana Pump.fun DogWifTool compromis pour vider les portefeuilles
Le 29 janvier 2025, il a été révélé que l'outil DogWifTools, utilisé pour promouvoir des meme coins sur la blockchain Solana, a été compromis par des hackers dans une attaque de chaîne d'approvisionnement. Les développeurs ont signalé que l'attaquant a accédé à leur dépôt GitHub privé après avoir extrait un token, puis a trojanisé les versions 1.6.3 à 1.6.6 du logiciel. Ce dernier, destiné à aider les développeurs à lancer des tokens, a permis l'injection discrète d'un cheval de Troie d'accès à distance (RAT) dans les mises à jour. Les utilisateurs de Windows ont été particulièrement touchés, perdant l'accès à leurs portefeuilles de cryptomonnaies, avec des pertes estimées à plus de 10 millions de dollars. Bien que certains utilisateurs accusent DogWifTools de "rug pulling", l'équipe dément toute implication frauduleuse et travaille à renforcer la sécurité tout en collaborant avec les enquêteurs. Les permissions intrusives demandées par l'application auraient permis aux hackers d'accéder à des données sensibles, mais l'attaquant a nié avoir volé des informations d'identité. DogWifTools s'efforce de regagner la confiance de sa communauté après cet incident.
Sources :
L’IA source de nouvelles attaques – Les protections
L’équipe de cybersécurité d’Akamai animera un événement « Pitch & Learn » lors du Cyber-IA expo le 4 février, abordant les menaces liées à l’intelligence artificielle. Les violations de données, notamment celles utilisant des outils d’IA, se sont intensifiées récemment. D'ici 2025, on prévoit la généralisation des deepfakes, en particulier audio, et la démocratisation de logiciels malveillants automatisés. Les API, devenues des cibles privilégiées pour les cybercriminels, subissent des attaques variées, telles que la violation de données et le détournement de la logique applicative. Un exemple récent est l'utilisation potentielle de chatGPT comme arme de déni de service. Akamai se positionne pour protéger les entreprises utilisant l’IA, en se concentrant sur le trafic malveillant et en offrant des solutions pour contrôler les informations diffusées aux modèles de langage. La gestion des bots permet aux clients de décider de la diffusion de leurs données, avec des options de blocage ou de redirection en cas de trafic indésirable. Fabio Costa, Principal Solution Engineer, souligne l'importance de surveiller la consommation des API pour détecter les anomalies et générer des alertes. L'événement vise à sensibiliser sur la protection des données et de la réputation en ligne face aux agents IA.
Sources :
Attaques DDoS contre les IA génératives : une course pour faire tomber ces dernières ?
Le lancement de DeepSeek, une nouvelle IA générative chinoise, suscite un engouement considérable, dépassant même ChatGPT en termes de téléchargements sur l'App Store. Cependant, ce succès attire également des cyber-attaques, notamment des attaques DDoS, qui ont déjà frappé DeepSeek peu après son lancement. Ces attaques, qui visent à rendre les services d'IA inaccessibles, rappellent les difficultés rencontrées par ChatGPT lors de ses mises à jour. Selon Fabio Costa, ingénieur en cybersécurité chez Akamai, les attaques DDoS peuvent avoir plusieurs objectifs : tester les défenses des systèmes ciblés, servir d'écran de fumée pour d'autres attaques, ou préparer le terrain pour des cyberattaques plus sophistiquées, comme des ransomwares. De plus, ces attaques peuvent s'inscrire dans une stratégie de déstabilisation plus large. En réussissant à compromettre une IA générative, les cyberattaquants peuvent également démontrer leurs compétences techniques et accroître leur visibilité dans le milieu. Ainsi, l'essor de DeepSeek met en lumière les vulnérabilités des IA génératives face à des menaces croissantes, soulignant la nécessité d'une vigilance accrue en matière de cybersécurité.
Sources :
Le package d'administration Laravel Voyager est vulnérable à une faille RCE en un clic
Trois vulnérabilités critiques ont été découvertes dans le package open-source Voyager, utilisé pour gérer des applications Laravel, permettant des attaques d'exécution de code à distance (RCE). Ces failles, non corrigées, peuvent être exploitées par un utilisateur authentifié de Voyager qui clique sur un lien malveillant. Les chercheurs de SonarSource ont identifié ces problèmes, dont le premier permet l'écriture de fichiers arbitraires via une vérification de type MIME contournée, permettant à un attaquant de télécharger des fichiers malveillants déguisés en images ou vidéos. La deuxième vulnérabilité concerne un endpoint qui ne sanitize pas correctement les entrées utilisateur, permettant l'injection de JavaScript dans des messages pop-up. La troisième faille dans le système de gestion de fichiers permet aux attaquants de manipuler des chemins de fichiers, entraînant la suppression ou l'accès à des fichiers sensibles. Malgré plusieurs tentatives de communication avec les mainteneurs de Voyager, aucune réponse n'a été reçue dans le délai de divulgation de 90 jours. Les utilisateurs de Voyager sont conseillés de restreindre l'accès, de limiter les permissions et de renforcer la sécurité au niveau du serveur. En raison de ces vulnérabilités, il est recommandé d'éviter l'utilisation de Voyager en production jusqu'à la publication de correctifs.
Sources :
Microsoft enquête sur la panne de Microsoft 365 affectant les utilisateurs et les administrateurs
Microsoft enquête sur une panne affectant l'accès à certains services de Microsoft 365, signalée par de nombreux utilisateurs et administrateurs. Selon DownDetector, les problèmes empêchent les tentatives de connexion et impactent des sites de la suite Microsoft 365 ainsi que les services Outlook. Microsoft a reconnu ces difficultés, précisant que les services touchés incluent SharePoint Online, Exchange Online et l'accès au centre d'administration de Microsoft 365. Bien que l'entreprise n'ait pas encore communiqué le nombre exact d'utilisateurs affectés, elle a qualifié cette situation d'incident critique, entraînant un impact notable sur les utilisateurs. Des pannes similaires ont eu lieu récemment, notamment en décembre et novembre, affectant divers services tels que Microsoft Teams et OneDrive. Cependant, des mises à jour indiquent que certains utilisateurs ont vu leurs problèmes résolus. Microsoft a identifié une erreur dans un changement de configuration récent, qui a été corrigé, permettant ainsi de rétablir l'accès pour tous les utilisateurs après une période de surveillance. L'entreprise continue d'analyser les données de service pour comprendre l'origine de cette panne et s'assurer qu'aucune autre action n'est nécessaire.
Sources :
Le FBI saisit les forums de piratage Cracked.io et Nulled.to dans le cadre de l'opération Talent
Le 29 janvier 2025, le FBI a annoncé la saisie des forums de hacking Cracked.io et Nulled.to dans le cadre d'une opération internationale nommée "Operation Talent", impliquant des autorités de plusieurs pays, dont les États-Unis, l'Italie, l'Espagne et la France. Des bannières de saisie ont été affichées sur les sites, indiquant que les domaines avaient été confisqués en raison de leur implication dans des activités criminelles, notamment le vol de mots de passe et les attaques par credential stuffing. Cracked.io a confirmé la saisie sur Telegram, précisant que les raisons spécifiques n'avaient pas été divulguées et que l'équipe attendait des documents judiciaires officiels. Les sites affichent désormais des messages d'erreur, signalant que leurs serveurs DNS ont été changés pour ceux du FBI. En plus de Cracked.io et Nulled.to, d'autres domaines tels que MySellIX et StarkRDP ont également été saisis, ces plateformes étant utilisées pour vendre des données volées et des comptes compromis. Bien que le FBI n'ait pas encore fourni de détails supplémentaires, cette opération semble marquer une intensification de la lutte contre les plateformes facilitant le vol d'identifiants.
Sources :
Le FBI saisit les domaines des forums de piratage Cracked.io et Nulled.to
Le 29 janvier 2025, le FBI a annoncé la saisie des forums de hacking Cracked.io et Nulled.to dans le cadre d'une opération internationale nommée "Operation Talent", impliquant des autorités de plusieurs pays, dont les États-Unis, l'Italie, l'Espagne et la France. Des bannières de saisie ont été ajoutées aux sites, indiquant que les domaines avaient été confisqués en raison de leur implication dans des activités criminelles, notamment le vol de mots de passe et les attaques par credential stuffing. Cracked.io a confirmé la saisie sur Telegram, précisant que les raisons spécifiques n'avaient pas été divulguées et que l'équipe attendait des documents judiciaires officiels. Les sites affichent désormais des messages d'erreur, signalant des problèmes d'accès. En plus de Cracked.io et Nulled.to, d'autres domaines tels que MySellIX et StarkRDP ont également été saisis, ces plateformes étant utilisées pour vendre des données volées et des comptes compromis. Europol a indiqué qu'une opération était en cours et que davantage d'informations seraient fournies ultérieurement. Cette action marque une intensification des efforts des forces de l'ordre pour lutter contre les activités de cybercriminalité en ligne.
Sources :
Le groupe Lazarus utilise un panneau d'administration basé sur React pour contrôler les cyberattaques mondiales
Le groupe de hackers nord-coréen connu sous le nom de Lazarus a été observé utilisant une "plateforme administrative web" pour gérer son infrastructure de commandement et de contrôle (C2). Selon le rapport de l'équipe STRIKE de SecurityScorecard, chaque serveur C2 hébergeait une plateforme administrative construite avec une application React et une API Node.js, permettant aux attaquants de superviser leurs campagnes de manière centralisée. Cette plateforme a été associée à une campagne d'attaque de la chaîne d'approvisionnement, nommée Operation Phantom Circuit, ciblant le secteur des cryptomonnaies avec des versions trojanisées de logiciels légitimes. Les attaquants ont trompé des développeurs en intégrant du code obfusqué dans des applications web, ce qui a permis d'infiltrer des entreprises à l'échelle mondiale. Entre septembre 2024 et janvier 2025, cette campagne a touché 1 639 victimes, dont 233 en janvier, principalement en Inde, au Brésil et en France. Les connexions ont été retracées jusqu'à Pyongyang via des adresses IP nord-coréennes utilisant le VPN Astrill. La plateforme permet aux acteurs de visualiser et de gérer les données exfiltrées, facilitant ainsi la gestion des victimes à travers les serveurs C2.
Sources :
Le menu Démarrer de Windows 11 bénéficie d'une intégration iPhone et Android
Le menu Démarrer de Windows 11 va bénéficier d'une mise à jour majeure avec l'intégration complète des smartphones Android et iPhone, permettant aux utilisateurs d'accéder facilement à leurs messages et images mobiles depuis leur ordinateur. Auparavant, cette fonctionnalité était réservée aux téléphones Android, mais elle est désormais compatible avec les iPhones. Pour en profiter, il est nécessaire d'avoir Windows 11 Build 4805 ou supérieur dans le canal Beta, ou Build 26120.3000 ou supérieur dans le canal Dev, ainsi que la version 1.24121.30.0 ou supérieure de Phone Link. De plus, l'ordinateur doit être connecté à un compte Microsoft et prendre en charge le Bluetooth LE. Cette fonctionnalité n'est pas disponible sur les versions Pro Education ou Education. Une fois la mise à jour effectuée, il suffit d'ouvrir le menu Démarrer, de choisir entre Android et iPhone, et de suivre les instructions à l'écran pour voir le contenu du téléphone. Les utilisateurs peuvent consulter l'état de la batterie de l'iPhone, gérer les messages texte, répondre aux appels et vérifier les activités récentes. Pour des données plus avancées, l'application Phone Link est nécessaire. La gestion de cette intégration se fait via les paramètres de personnalisation.
