剣 KENSAI
← All posts · security · 2026-03-10

Phishing Teams déploie A0Backdoor, campagne de détournement Signal, Salesforce Aura sous attaque

← Retour au blog

1. Le phishing Microsoft Teams déploie le malware A0Backdoor

🚨 CRITIQUE — Campagne active ciblant la finance et la santé

Des acteurs malveillants utilisent des messages Microsoft Teams pour cibler des employés des secteurs financier et de la santé. Après avoir établi le contact via Teams, les attaquants convainquent les victimes d'accorder un accès à distance via Quick Assist, un outil légitime de support à distance Windows. Une fois connectés, ils déploient une porte dérobée inédite baptisée A0Backdoor.

La chaîne d'attaque se distingue par la sophistication de son ingénierie sociale — les attaquants se font passer pour du personnel de support informatique et créent un sentiment d'urgence autour de prétendus problèmes de sécurité. A0Backdoor fournit un accès persistant, la collecte d'identifiants et des capacités de déplacement latéral.

Actions requises : Restreindre l'utilisation de Quick Assist via les stratégies de groupe. Sensibiliser les employés aux demandes d'assistance Teams non sollicitées. Surveiller les activités inhabituelles des outils d'accès à distance.


2. Google : les attaques cloud passent du vol d'identifiants à l'exploitation de vulnérabilités

Le dernier rapport de renseignement sur les menaces de Google révèle un changement majeur dans les tactiques d'attaque cloud. Les hackers exploitent de plus en plus les vulnérabilités récemment divulguées dans les logiciels tiers plutôt que de s'appuyer sur des identifiants faibles ou volés pour l'accès initial au cloud.

Le constat le plus alarmant : le délai entre la divulgation d'une vulnérabilité et son exploitation active s'est réduit de plusieurs semaines à quelques jours, parfois quelques heures. Cela exerce une pression énorme sur les équipes de sécurité pour appliquer les correctifs immédiatement.

IndicateurAvantActuel
Délai moyen d'exploitation2–4 semaines1–3 jours
Premier vecteur d'accès initialIdentifiants volésExploitation de vulnérabilités
Implication de logiciels tiersModéréeCible principale

3. Des hackers du GRU russe détournent des comptes Signal et WhatsApp

🚨 ÉTAT-NATION — Alerte du gouvernement néerlandais

Le gouvernement néerlandais a émis une alerte officielle concernant une campagne de phishing en cours parrainée par l'État russe et liée au GRU (renseignement militaire russe). La campagne cible des responsables gouvernementaux, du personnel militaire et des journalistes, en tentant de détourner leurs comptes Signal et WhatsApp.

Les attaquants utilisent une ingénierie sociale sophistiquée pour inciter leurs cibles à lier leurs comptes de messagerie à des appareils contrôlés par les attaquants. Une fois compromis, les acteurs obtiennent un accès complet aux conversations chiffrées, aux contacts et aux médias partagés.

Actions requises : Vérifier les appareils liés dans les paramètres Signal et WhatsApp. Activer le verrouillage d'enregistrement sur Signal. Informer le personnel à haut risque de cette menace spécifique.


4. Violation de données chez Ericsson US

La filiale américaine d'Ericsson a révélé une violation de données résultant de la compromission d'un prestataire de services tiers. Des données d'employés et de clients ont été dérobées, y compris des informations personnellement identifiables.

Cet incident illustre le risque persistant des attaques de la chaîne d'approvisionnement — même lorsque votre propre sécurité est robuste, les fournisseurs et prestataires peuvent devenir le maillon faible.


5. ShinyHunters exploite une vulnérabilité Salesforce Aura

⚠️ EXPLOITATION ACTIVE — Salesforce Experience Cloud

Le groupe d'extorsion notoire ShinyHunters exploite activement un nouveau bug dans Salesforce Experience Cloud (framework Aura) pour voler des données d'instances mal configurées. Les organisations disposant de sites Salesforce Experience Cloud exposés sont en danger immédiat.

ShinyHunters est connu pour ses violations de données massives et extorque généralement ses victimes en menaçant de divulguer les données volées. La vulnérabilité Salesforce Aura permet un accès non autorisé à des enregistrements sensibles lorsque les instances sont mal configurées.

Actions requises : Auditer immédiatement les configurations Salesforce Experience Cloud. Vérifier les permissions des utilisateurs invités. Contrôler les schémas d'accès aux données inhabituels.


6. Un package npm malveillant imite OpenClaw

Un package npm malveillant nommé @openclaw-ai/openclawai a été découvert, se faisant passer pour un installateur légitime. Le package déploie un cheval de Troie d'accès à distance (RAT) et vole des données sensibles sur les systèmes macOS, notamment :

  • Identifiants système et données du trousseau
  • Cookies de navigateur et mots de passe enregistrés
  • Fichiers de portefeuilles de cryptomonnaies
  • Clés SSH et configuration
  • Historique iMessage

Le package a cumulé 178 téléchargements avant sa détection. Il s'agit d'une attaque classique de la chaîne d'approvisionnement exploitant la confiance dans les gestionnaires de paquets.


7. Le groupe nord-coréen UNC4899 compromet une société crypto

L'équipe Mandiant de Google attribue la compromission d'une société crypto à UNC4899 (également connu sous le nom de TraderTraitor), un groupe de menaces nord-coréen. Les attaquants ont compromis la cible via un fichier AirDrop trojanisé, puis ont pivoté vers l'infrastructure cloud en utilisant des techniques living-off-the-cloud — détournant des services cloud légitimes pour se fondre dans l'activité normale.

Cela représente une évolution des opérations cyber nord-coréennes, démontrant une sophistication croissante dans les techniques d'attaque cloud-natives.


8. Des extensions Chrome deviennent malveillantes après un transfert de propriété

Deux extensions Chrome se sont révélées malveillantes après le transfert de leur propriété à de nouveaux développeurs. Les nouveaux propriétaires ont publié des mises à jour activant l'injection de code et le vol de données, affectant les utilisateurs ayant installé les extensions avec la mise à jour automatique activée.

Actions requises : Auditer les extensions de navigateur dans votre organisation. Mettre en place une liste d'extensions autorisées. Surveiller les mises à jour d'extensions inattendues.


9. Cisco Catalyst SD-WAN CVE-2026-20127 massivement exploitée

🚨 CVE CRITIQUE — Exploitation massive en cours

Une vulnérabilité critique dans Cisco Catalyst SD-WAN (CVE-2026-20127) fait désormais l'objet d'une exploitation massive depuis de nombreuses adresses IP. Les organisations utilisant l'infrastructure Cisco SD-WAN concernée doivent appliquer les correctifs immédiatement ou mettre en œuvre des mesures d'atténuation.

Actions requises : Appliquer immédiatement les correctifs de l'avis de sécurité Cisco. Si le correctif n'est pas possible, implémenter les solutions de contournement recommandées et surveiller les indicateurs de compromission.


10. L'attaque ClickFix évolue avec Windows Terminal

La technique d'ingénierie sociale ClickFix a évolué. Les attaquants utilisent désormais de fausses pages CAPTCHA qui demandent aux victimes de coller des commandes malveillantes dans Windows Terminal au lieu de la boîte de dialogue Exécuter traditionnelle. Cette technique d'évasion contourne plusieurs contrôles de sécurité qui surveillent la boîte de dialogue Exécuter.

Le passage à Windows Terminal est significatif car il offre un environnement d'exécution plus puissant et peut ne pas être surveillé par les outils de détection endpoint legacy.


11. Autres actualités

ActualitéImpact
Le FBI enquête sur une compromission de système de surveillanceLe FBI examine une activité cyber suspecte sur un système contenant des informations de surveillance sensibles
La CISA ajoute des failles iOS au KEVLe kit d'exploitation Coruna cible 23 vulnérabilités sur iOS 13–17.2.1 ; niveau étatique
Mise à jour de la stratégie cyber américaineNouvelle stratégie ciblant les adversaires, la protection des infrastructures critiques, l'IA et la cryptographie post-quantique

Comment KENSAI vous protège

Surveillance CVE en temps réel — CVE-2026-20127 et toutes les vulnérabilités critiques suivies dans les heures suivant leur divulgation

Analyse de la chaîne d'approvisionnement — Détection de packages malveillants comme le faux installateur npm OpenClaw

Audit de configuration cloud — Identification des erreurs de configuration Salesforce avant que ShinyHunters ne le fasse

Gestion continue de la surface d'attaque — Surveillance de votre exposition sur tous les vecteurs


Actions recommandées

  1. Immédiat : Corriger Cisco SD-WAN CVE-2026-20127. Restreindre Quick Assist via les stratégies de groupe.
  2. Aujourd'hui : Auditer les configurations Salesforce Experience Cloud. Vérifier les appareils liés dans Signal/WhatsApp.
  3. Cette semaine : Auditer les extensions de navigateur dans toute l'organisation. Vérifier les dépendances npm pour les packages malveillants.
  4. En continu : Mettre en œuvre une gestion continue des vulnérabilités. Former le personnel aux techniques de phishing Teams et ClickFix.

Protégez votre organisation avec KENSAI

Analyse de vulnérabilités par IA et surveillance de sécurité en continu. Lancez votre scan gratuit dès aujourd'hui.

Lancer le scan gratuit →

Restez en sécurité. Restez vigilants.

🗡️ L'équipe sécurité KENSAI

🛡️ Votre site est-il sécurisé ?

Découvrez les vulnérabilités avant les attaquants.

Scannez votre site gratuitement →

All posts · Permalink