Emissions
Bienvenue sur votre podcast quotidien de cybersécurité.
La CISA a intégré la vulnérabilité CVE-2023-52163 à son catalogue KEV en raison de preuves d'exploitation active. Cette faille d'autorisation manquante affecte les enregistreurs vidéo réseau Digiever DS-2105 Pro, permettant à des acteurs malveillants de contourner les contrôles d'accès. Bien que la directive BOD 22-01 cible les agences fédérales, la CISA exhorte toutes les organisations à appliquer immédiatement les mises à jour de firmware. Ce type de vulnérabilité est un vecteur fréquent pour l'accès initial et les mouvements latéraux au sein des réseaux IoT et des infrastructures de surveillance.
Genians Security Center détaille la campagne « Artemis » menée par le groupe APT37 contre des cibles sud-coréennes via des documents HWP malveillants. L'attaque utilise des objets OLE pour déclencher une chaîne d'exécution exploitant la technique du DLL side-loading via l'utilitaire légitime VolumeId pour charger le module RoKRAT. La campagne se distingue par l'usage de la stéganographie dans des images pour masquer la charge utile et l'utilisation de services cloud légitimes comme Yandex Cloud et pCloud pour les communications C2. L'identification est rendue complexe par l'exécution du payload dans le contexte de processus système fiables.
SoundCloud confirme une intrusion via un tableau de bord de service auxiliaire, exposant les données de 20 % de ses utilisateurs, soit environ 26 millions de comptes. Les informations compromises incluent les adresses e-mail et les données publiques des profils, sans impact sur les mots de passe ou données financières. L'incident a été suivi d'attaques DDoS perturbant la disponibilité du site. Les mesures de remédiation, incluant le renforcement des contrôles IAM, ont causé des problèmes de connectivité temporaires pour les utilisateurs sous VPN.
Socket Security a découvert deux extensions Chrome malveillantes, Phantom Shuttle, détournant le trafic de plus de 170 domaines d'entreprise dont AWS, GitHub et Azure. Ces extensions injectent silencieusement des identifiants de proxy via l'écouteur chrome.webRequest.onAuthRequired pour capturer les flux de données en position de Man-in-the-Middle. Les attaquants utilisent des scripts PAC pour rediriger le trafic sensible et exfiltrer identifiants, cookies de session et clés API en texte clair vers le serveur C2 phantomshuttle[.]space.
Le collectif Anna’s Archive a publié une base de données massive contenant 86 millions de titres et les métadonnées de 256 millions de morceaux extraits de Spotify. L'opération de scraping, totalisant 300 téraoctets, a été réalisée via l'automatisation de comptes tiers sur plusieurs mois par stream-ripping. Spotify a désactivé les comptes impliqués et déployé de nouveaux mécanismes de surveillance pour détecter les comportements de lecture automatisés. L'ampleur de cette exfiltration pose des risques majeurs pour la protection des droits des créateurs et la propriété intellectuelle.
Sources :
CISA KEV Digiever : https://www.cisa.gov/news-events/alerts/2025/12/22/cisa-adds-one-known-exploited-vulnerability-catalog
APT37 Artemis : https://www.genians.co.kr/en/blog/threat_intelligence/dll
SoundCloud Breach : https://www.theregister.com/2025/12/16/soundcloud_cyberattack_data_leak/
Chrome Phantom Shuttle : https://thehackernews.com/2025/12/two-chrome-extensions-caught-secretly.html
Spotify Scraping : https://therecord.media/spotify-disables-scraping-annas
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com
