Selon le CERT-UA, le cluster UAC-0057, également suivi sous le nom UNC1151, mène depuis le printemps 2026 une campagne de Phishing visant des organisations gouvernementales ukrainiennes. Les courriels, envoyés depuis des comptes compromis, exploitent la thématique de l'obtention de certificats via la plateforme Prometheus. Le vecteur d'Initial Access repose sur un PDF en pièce jointe contenant un lien menant au téléchargement d'une archive ZIP, laquelle embarque un fichier JS identifié comme OYSTERFRESH. Ce Loader affiche un document leurre, inscrit dans le registre une version obfusquée du Payload OYSTERBLUES, puis télécharge OYSTERSHUCK, son décodeur. Le décodage combine un reverse de chaîne, une transformation ROT13 et un URL-decoding. OYSTERBLUES collecte ensuite le nom de la machine, le compte utilisateur, la version de l'OS et la liste des processus, données transmises au serveur C2 par requête HTTP POST. En retour, le serveur renvoie du code JS exécuté via la fonction eval. À l'étape suivante, un composant Cobalt Strike peut être déployé. L'infrastructure reste masquée derrière Cloudflare, avec une forte proportion de domaines en TLD .icu.Selon le blog du chercheur opérant sous le pseudonyme Nightmare Eclipse, un conflit ouvert oppose ce dernier au MSRC autour de la divulgation de vulnérabilités Windows. Le chercheur a publié plusieurs Proof of Concept en Full Disclosure sur GitHub, dont les exploits baptisés BlueHammer et RedSun, ce dernier répondant au correctif de la CVE-2026-33825. Le différend cristallise autour de la CVE-2026-45585, surnommée YellowKey, un security feature bypass affectant Windows. Microsoft affirme que la publication du Proof of Concept enfreint les bonnes pratiques de Coordinated Vulnerability Disclosure. Le chercheur conteste cette qualification, qu'il juge diffamatoire, et accuse l'éditeur d'avoir révoqué puis intégralement supprimé son compte MSRC, sans réponse de la direction à ses demandes d'explication. Il évoque par ailleurs un silent patch appliqué par Microsoft sur la vulnérabilité YellowKey, sans attribution de CVE initiale. Les publications, signées en PGP avec un hash SHA512, s'inscrivent dans une série d'au moins sept billets diffusés en mai 2026, marquant une escalade revendiquée du mode de divulgation.Selon BleepingComputer, Google a accidentellement exposé les détails d'une faille Chromium non corrigée permettant à du JavaScript de continuer à s'exécuter en arrière-plan après la fermeture du navigateur, ouvrant la voie à une exécution de code à distance. Rapportée par la chercheuse Lyra Rebane et reconnue dès décembre 2022, la vulnérabilité repose sur l'abus d'un Service Worker qui ne se termine jamais, transformant le navigateur en membre permanent d'un botnet relié à un C2. Tous les navigateurs basés sur Chromium sont concernés : Chrome, Edge, Brave, Opera, Vivaldi et Arc. Le 20 mai, les restrictions d'accès sur le Chromium Issue Tracker ont été levées automatiquement, le bug ayant été marqué comme corrigé, alors qu'aucun patch n'avait été livré. En testant, Rebane a constaté que l'exploit fonctionne toujours sur Chrome Dev 150 et Edge 148. Sur Edge, l'exécution est désormais totalement silencieuse, la fenêtre de téléchargement ayant disparu. Les scénarios incluent attaques DDoS distribuées, proxy de trafic malveillant et redirection arbitraire. La faille ne franchit pas les barrières de sécurité du navigateur.Selon Cyber Security News, une vulnérabilité zero-day d'exécution de code à distance, baptisée nginx-poolslip, affecterait NGINX 1.31.0, dernière version stable du serveur web. La découverte est attribuée à un chercheur opérant sous le nom Vega, au sein de l'équipe NebSec, et a été divulguée publiquement via X le 21 mai 2026. La faille viserait le mécanisme interne de gestion du memory pool de NGINX et permettrait une exécution de code à distance sans authentification préalable, via un contournement de l'ASLR. NebSec indique que le correctif d'une vulnérabilité antérieure, nginx-rift, n'a pas traité la surface d'attaque désormais exploitée. NGINX équipant 30 à 40 % des serveurs web mondiaux, reverse proxies, load balancers et API gateways inclus, les organisations ayant migré vers 1.31.0 resteraient exposées. À la publication, aucun CVE n'est attribué et aucun patch F5/NGINX n'est disponible. NebSec applique une responsible disclosure de 30 jours et retient les détails techniques du contournement ASLR jusqu'à correctif officiel. Cette information demeure non confirmée par F5 et appelle vérification.Selon le SANS Internet Storm Center, dans une note signée Johannes Ullrich, il n'existe pas encore d'équivalent générique sous Linux à Proxifier, l'outil capable d'intercepter le trafic de processus spécifiques sous Windows, macOS et Android, utile pour le debugging et le reverse engineering en limitant le bruit d'analyse. ...
Show More
Show Less
13 mins
9 mins
May 22 20269 mins
12 mins
May 20 20268 mins
15 mins
9 mins
May 17 202614 mins