Newsletter RadioCSIRT N°13
🎧 RadioCSIRT – La newsletter cyber hebdo du Podcast RadioCSIRT
🎉 RadioCSIRT fête son 300ᵉ épisode
Chères auditrices, chers auditeurs,
Aujourd’hui, RadioCSIRT célèbre son 300ᵉ épisode. Trois cents éditions quotidiennes pour déchiffrer l’actualité cyber, jour après jour, sans interruption. Un cap symbolique que je n’aurais jamais atteint sans votre fidélité et votre confiance.
Vous êtes chaque jour plus nombreux à suivre le podcast via RadioCSIRT.org ou sur notre page de diffusion ainsi que les platesformes de Podcasts, et je tiens à vous remercier sincèrement pour votre soutien.
🙏 Une communauté engagée
Un immense merci à toutes celles et ceux qui ont pris le temps d’écouter, de partager, d’écrire, de suggérer… et à ceux qui ont participé à la cagnotte Leetchi, lancée pour faire évoluer RadioCSIRT vers une version vidéo et associative.
Grâce à vous, nous approchons du but, et la collecte reste ouverte jusqu’au 31 mai ici :
👉 https://www.leetchi.com/fr/c/faire-evoluer-radiocsirt-en-format-video-1290712
🔍 Quelques faits marquants
Ce projet, c’est aussi :
Plus de 150 000 écoutes (On est proche des 200.000 si je cumule l’ensemble des platesformes).
10 kg de chocolat (au moins) consommés par votre serviteur,
600 cafés pour tenir la cadence,
Un studio mobile qui me suit dans tous mes déplacements,
Des rencontres formidables lors de conférences et événements,
La confiance précieuse de mon employeur, qui a permis à ce projet personnel de s’épanouir dans la durée,
Des entreprises bienveillantes qui m’ont accueilli et soutenu moralement,
Le soutien inestimable de mes proches,
Et mes amis de NoLimitSecu, qui m’ont montré la voie du podcast il y a plusieurs années.
🛠 Et maintenant ?
D’ici quelques semaines, RadioCSIRT deviendra officiellement une association loi 1901. Ce nouveau cadre nous permettra d’élargir nos actions, de fédérer une communauté encore plus large autour de la veille cyber, et de préparer l’avenir du podcast dans les meilleures conditions.
Merci d’être là depuis le début – ou depuis hier – pour ce rendez-vous quotidien.
En route vers la suite, avec toujours la même énergie. 🔒
Marc-Frédéric
🔎 À lire cette semaine sur LinkedIn
Je vous propose une nouvelle sélection de mes derniers articles publiés sur LinkedIn.
🔹 Sécurité des données DIA – Enjeux et priorités
Retour sur les obligations de sécurisation des données classifiées ou sensibles pour les acteurs soumis au cadre de la DIA.
👉 Lire : https://www.linkedin.com/pulse/s%25C3%25A9curit%25C3%25A9-des-donn%25C3%25A9es-dia-marc-fr%25C3%25A9d%25C3%25A9ric-gomez-q4xke/?trackingId=VX0UQdi%2BSP2R8ZcFHMCBPg%3D%3D
🔹 LummaC2 – Analyse du rapport conjoint FBI/CISA
Analyse approfondie de cette menace en croissance, utilisée par des acteurs criminels dans des campagnes de vol d'informations sensibles.
👉 Lire : https://www.linkedin.com/pulse/lummac2-analyse-du-rapport-conjoint-fbicisa-marc-fr%25C3%25A9d%25C3%25A9ric-gomez-rzi4e/?trackingId=VX0UQdi%2BSP2R8ZcFHMCBPg%3D%3D
🔹 Campagne de cyberespionnage – Unité 26165 du GRU (APT28/Fancy Bear)
Décryptage d'une opération de grande ampleur attribuée à la Russie, avec détails techniques et impacts.
👉 Lire : https://www.linkedin.com/pulse/campagne-de-cyberespionnage-lunit%25C3%25A9-26165-du-gru-apt28fancy-gomez-yy71e/?trackingId=%2BtCS89IrQ3Oan2ccG52FFQ%3D%3D
🔹 Campagne Hazy Hawk – TTPs et indicateurs
Zoom sur une campagne sophistiquée de compromission ciblée et les outils associés, avec une attention particulière sur les IOCs.
👉 Lire : https://www.linkedin.com/pulse/campagne-hazy-hawk-marc-fr%25C3%25A9d%25C3%25A9ric-gomez-4fzte/?trackingId=%2BtCS89IrQ3Oan2ccG52FFQ%3D%3D
🔹 Les sanctions américaines contre le Procureur de la CPI – Enjeux cybersécurité
Analyse des risques induits par les tensions géopolitiques récentes et leur traduction dans le cyberespace.
👉 Lire : https://www.linkedin.com/pulse/les-sanctions-am%25C3%25A9ricaines-contre-le-procureur-de-la-cpi-gomez-zaowe/?trackingId=%2BtCS89IrQ3Oan2ccG52FFQ%3D%3D
🎙 Récapitulatif des épisodes du podcast de la semaine
Du samedi 17 Mai au Vendredi 23 Mai 2025
📅 Podcast RadioCSIRT du Samedi 17 Mai 2025 (Ep.293)
📌 Au programme aujourd’hui :
🔹 Vulnérabilité dans Spring Framework
Des chercheurs ont identifié une faille dans Spring Framework permettant un contournement des politiques de sécurité.
📚 Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0417/
🔹 Multiples vulnérabilités dans le noyau Linux de Red Hat
Plusieurs failles critiques affectent le noyau Linux dans les environnements Red Hat, incluant des risques de déni de service, d’exécution de code ou d’élévation de privilèges.
📚 Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0421/
🔹 Vulnérabilité dans Python
Une vulnérabilité permet de déclencher un déni de service via une gestion incorrecte de certains objets.
📚 Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0415/
🔹 Multiples vulnérabilités dans les produits Nextcloud
Des vulnérabilités dans Nextcloud permettent à un attaquant non authentifié d’accéder à des informations sensibles ou de manipuler certains flux de données.
📚 Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0420/
🔹 Élévation de privilèges dans Microsoft Defender for Endpoint (Linux)
Une vulnérabilité permettrait à un attaquant local d’obtenir des privilèges plus élevés sur certains systèmes Linux.
📚 Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0419/
🔹 Déni de service à distance dans Zimbra Collaboration
Un attaquant peut provoquer une interruption de service via une requête malformée.
📚 Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0416/
🔹 Vulnérabilités critiques dans IBM QRadar SIEM
Exécution de code à distance, atteinte à l’intégrité et fuites de données possibles sur certaines versions.
📚 Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0422/
🔹 CISA : ajout de trois vulnérabilités exploitées activement (KEV)
La CISA renforce son catalogue des failles activement exploitées avec trois nouvelles entrées critiques.
📚 Source : https://www.cisa.gov/news-events/alerts/2025/05/15/cisa-adds-three-known-exploited-vulnerabilities-catalog
📅 Podcast RadioCSIRT du Dimanche 18 Mai 2025 (Ep.294)
📌 Au programme aujourd’hui :
🔹 HTTPBot : 200 attaques DDoS ciblées en Chine
Un nouveau botnet Windows baptisé HTTPBot cible les secteurs du jeu vidéo, de la tech et de l’éducation avec des attaques HTTP flood d’une précision inédite.
📚 Source : https://thehackernews.com/2025/05/new-httpbot-botnet-launches-200.html
🔹 Intel : trois nouvelles failles CPU exposées
Des chercheurs de l’ETH Zurich et de VUSec révèlent des vulnérabilités majeures dans les processeurs Intel, permettant des fuites mémoire par Spectre v2. Trois CVE sont concernées, dont une liée à l’architecture Lion Cove.
📚 Source : https://thehackernews.com/2025/05/researchers-expose-new-intel-cpu-flaws.html
🔹 Broadcom : fuite de données RH après une attaque indirecte
Une attaque chez un prestataire ADP au Moyen-Orient a entraîné l’exposition de données personnelles de salariés Broadcom, y compris des identifiants nationaux et des données bancaires.
📚 Source : https://www.theregister.com/2025/05/16/broadcom_employee_data_stolen_by/
🔹 Operation RoundPress : espionnage ciblé via webmails
Le groupe Sednit a mené des attaques XSS contre Roundcube, Horde, MDaemon et Zimbra, visant principalement des entités en Ukraine, Bulgarie, Roumanie et Afrique.
📚 Source : https://www.welivesecurity.com/en/eset-research/operation-roundpress/
🔹 Defendnot : un faux antivirus désactive Microsoft Defender
Un outil baptisé Defendnot peut désactiver Defender en enregistrant un faux antivirus dans le système, via une API WSC détournée et un processus signé injecté.
📚 Source : https://www.bleepingcomputer.com/news/microsoft/new-defendnot-tool-tricks-windows-into-disabling-microsoft-defender/
📅 Podcast RadioCSIRT du Lundi 19 Mai 2025 (Ep.295)
📌 Au programme aujourd’hui :
🔹 WSL devient open source après près de 10 ans
Microsoft ouvre enfin le code de Windows Subsystem for Linux (WSL), marquant une étape importante pour les développeurs et la communauté open source.
📚 Source : https://arstechnica.com/gadgets/2025/05/microsoft-takes-windows-subsystem-for-linux-open-source-after-nearly-a-decade/
🔹 Fuite massive : casiers judiciaires exposés au ministère de la Justice britannique
Une cyberattaque a compromis des données sensibles, y compris des casiers judiciaires. L’attaque soulève des questions sur la sécurité des systèmes gouvernementaux critiques.
📚 Source : https://www.cybersecurity-insiders.com/criminal-records-exposed-in-cyber-attack-on-ministry-of-justice/?utm_source=rss&utm_medium=rss&utm_campaign=criminal-records-exposed-in-cyber-attack-on-ministry-of-justice&utm_source=rss&utm_medium=rss&utm_campaign=criminal-records-exposed-in-cyber-attack-on-ministry-of-justice
🔹 Ex-NSA : les cybercriminels de Scattered Spider ont “appelé le FBI en direct”
Un ancien de la NSA raconte comment le groupe Scattered Spider, connu pour ses attaques contre les infrastructures critiques, s’est vanté d’avoir téléphoné au FBI pendant leurs opérations.
📚 Source : https://www.theregister.com/2025/05/18/ex_nsa_scattered_spider_call/
📅 Podcast RadioCSIRT du Mardi 20 Mai 2025 (Ep.296)
📌 Au programme aujourd’hui :
🔹 CISA : 6 nouvelles failles activement exploitées ajoutées au KEV
La CISA a ajouté six vulnérabilités à son catalogue KEV sur la base de preuves d’exploitation active. Elles concernent plusieurs éditeurs :
– CVE-2025-4427 : Ivanti EPMM – contournement d’authentification
– CVE-2025-4428 : Ivanti EPMM – injection de code
– CVE-2024-11182 : MDaemon Email Server – vulnérabilité XSS
– CVE-2025-27920 : Srimax Output Messenger – traversée de répertoires
– CVE-2024-27443 : Zimbra Collaboration Suite – vulnérabilité XSS
– CVE-2023-38950 : ZKTeco BioTime – vulnérabilité de type path traversal
📚 Source : https://www.cisa.gov/news-events/alerts/2025/05/19/cisa-adds-six-known-exploited-vulnerabilities-catalog
🔹 Serviceaide : fuite massive de données médicales
Un acteur malveillant a publié sur un forum plus d’un million de lignes de données issues de Serviceaide, contenant des informations médicales sensibles de plusieurs prestataires américains.
📚 Source : https://therecord.media/breaches-serviceaide-nationwide-medical-info
🔹 Phishing : fausse invitation Zoom piège les victimes
Une nouvelle campagne de phishing imite des invitations Zoom pour voler des identifiants Microsoft. L’attaque emploie un site proxy pour contourner les protections MFA.
📚 Source : https://gbhackers.com/new-phishing-attack-poses-as-zoom-meeting/
🔹 KeePass factice : vers un ransomware ESXi
Une fausse version du gestionnaire de mots de passe KeePass infecte les systèmes avec un dropper qui conduit à une attaque ESXi ransomware. Le vecteur de distribution reste inconnu.
📚 Source : https://www.bleepingcomputer.com/news/security/fake-keepass-password-manager-leads-to-esxi-ransomware-attack/
📅 Podcast RadioCSIRT du Mercredi 21 Mai 2025 (Ep.297)
📌 Au programme aujourd’hui :
🎯 Focus du jour : le cyberespionnage russe passe à l’offensive
📌 Un nouveau rapport CISA détaille une vaste campagne du GRU (unité 26165 – APT28) ciblant les entreprises de logistique et les fournisseurs technologiques occidentaux.
Les infrastructures critiques liées à l’aide apportée à l’Ukraine sont visées.
📚 Source : https://www.cisa.gov/news-events/alerts/2025/05/21/russian-gru-cyber-actors-targeting-western-logistics-entities-and-tech-companies
📚 Mon Analyse : https://www.linkedin.com/pulse/campagne-de-cyberespionnage-lunit%C3%A9-26165-du-gru-apt28fancy-gomez-yy71e/?trackingId=igvMwpxzRGCv4c2qQU78gQ%3D%3D
🧊 Sanctions : L’UE frappe un facilitateur de cyberattaques
La société Stark Industries, accusée d’avoir fourni du support à des opérations offensives, est désormais sanctionnée par l’Union européenne.
📚 Source : https://www.bleepingcomputer.com/news/security/european-union-sanctions-stark-industries-for-enabling-cyberattacks/
📅 Podcast RadioCSIRT du Jeudi 22 Mai 2025 (Ep.298)
🎯 Focus du jour : sécuriser les données d’IA, une priorité nationale
📌 La NSA, la CISA, le FBI et leurs partenaires internationaux publient un guide stratégique sur la sécurité des données utilisées pour entraîner et exploiter les systèmes d’IA.
Trois menaces sont à l’honneur : chaînes d’approvisionnement non maîtrisées, empoisonnement de données, dérive en production.
📚 Source : https://www.cisa.gov/news-events/alerts/2025/05/22/new-best-practices-guide-securing-ai-data-released
📚 Mon analyse complète (article expert) :
🧊 Vulnérabilité critique Windows Server (non patchée)
Permet une compromission totale du domaine via des utilisateurs AD non privilégiés.
📚 Source : https://www.helpnetsecurity.com/2025/05/22/unpatched-windows-server-vulnerability-allows-active-directory-users-full-domain-compromise/
🕵️♂️ Cyberattaque ciblée contre Trimble
Des acteurs chinois exploitent activement une faille critique pour viser les entreprises du secteur géospatial.
📚 Source : https://thehackernews.com/2025/05/chinese-hackers-exploit-trimble.html
⚖️ Darkweb : opération mondiale contre les places de marché criminelles
Europol annonce l’arrestation de 270 individus impliqués dans le trafic de drogues et services illégaux.
📚 Source : https://www.europol.europa.eu/media-press/newsroom/news/270-arrested-in-global-dark-web-crackdown-targeting-online-drug-and-criminal-networks
📅 Podcast RadioCSIRT du Vendredi 23 Mai 2025 (Ep.299)
🎯 Focus du jour : TikTok, ClickFix et malwares — les nouvelles armes sociales des cybercriminels
📌 Des vidéos TikTok, générées via des outils d’IA, sont utilisées pour inciter les internautes à exécuter des commandes malveillantes PowerShell, diffusant les stealer Vidar et StealC via la technique ClickFix.
📚 Source : https://www.thehackernews.com/2025/05/hackers-use-tiktok-videos-to-distribute.html
🧊 Faux outils IA et clones de ChatGPT : nouvelle menace pour les utilisateurs
Des campagnes exploitent des outils IA contrefaits pour piéger les victimes, voler leurs données et diffuser des malwares.
📚 Source : https://www.cysecurity.news/2025/05/cybercriminals-employ-fake-ai-tools-to.html
⚖️ Justice américaine : inculpation d’un individu lié à QakBot
Le DOJ américain poursuit l’homme suspecté d’être à l’origine du botnet QakBot, actif depuis plus d’une décennie.
📚 Source : https://therecord.media/doj-charges-man-allegedly-behind-qakbot-malware
🍔 Fuite chez Burger King : un acteur malveillant revend la sauvegarde de l’infrastructure IT
Un cybercriminel vend une image disque contenant les données des systèmes internes de Burger King.
📚 Source : https://gbhackers.com/threat-actor-sells-burger-king-backup-system/
💸 Cetus Protocol : 223 millions de dollars dérobés dans un vol crypto
Un hacker a exfiltré 223 millions de dollars via une faille dans le protocole Cetus, visant les portefeuilles DeFi.
📚 Source : https://www.bleepingcomputer.com/news/security/hacker-steals-223-million-in-cetus-protocol-cryptocurrency-heist/