đą VulnĂ©rabilitĂ© GPT-5 : contamination de contexte interâsession via erreurs de longueur et bouton Retry
đ Source: Knostic.ai â Des chercheurs en sĂ©curitĂ© rapportent une vulnĂ©rabilitĂ© reproductible dans...
đ cyberveille :
https://cyberveille.ch/posts/2025-08-15-vulnerabilite-gpt-5-contamination-de-contexte-inter-session-via-erreurs-de-longueur-et-bouton-retry/đ source :
https://www.knostic.ai/blog/gpt-5-cross-session-context-contamination#AI_vulnerability #GPT_5 #CyberveilleVulnĂ©rabilitĂ© GPT-5 : contamination de contexte interâsession via erreurs de longueur et bouton Retry
Source: Knostic.ai â Des chercheurs en sĂ©curitĂ© rapportent une vulnĂ©rabilitĂ© reproductible dans GPT-5 causant une contamination de contexte interâsession lors de scĂ©narios dâerreurs de longueur de message suivies dâun appui sur « Retry ».
â RĂ©sumĂ© factuel â
Nature du problĂšme: vulnĂ©rabilitĂ© de gestion dâerreurs et de session entraĂźnant une contamination de contexte crossâsession. Conditions: prompts surdimensionnĂ©s provoquant des erreurs de type message_length_exceeds_limit, puis action Retry. Impact observĂ©: gĂ©nĂ©ration de rĂ©ponses issues de conversations non liĂ©es. Aucune exposition de donnĂ©es sensibles confirmĂ©e, mais risque de confiance et de confidentialitĂ© Ă©levĂ©, notamment pour des environnements entreprise et rĂ©glementĂ©s. â DĂ©tails techniques â
Vente massive de scans dâidentitĂ©s volĂ©s Ă des hĂŽtels italiens signalĂ©e par le CERT-AGID
CERT-AGID (cert-agid.gov.it) signale une vente illĂ©gale de scans haute rĂ©solution de documents dâidentitĂ© (passeports, cartes dâidentitĂ©, etc.) volĂ©s Ă des hĂŽtels en Italie đšđ.
Selon lâacteur malveillant âmydocsâ, les premiers lots proviennent dâaccĂšs non autorisĂ©s Ă trois structures hĂŽteliĂšres, avec des vols survenus entre juin et juillet 2025. Le matĂ©riel est proposĂ© sur un forum underground.
Chronologie des ajouts annoncés:
08/08/2025: +17 000 documents issus dâune structure supplĂ©mentaire. 11/08/2025: publications de nouvelles collections totalisant plus de 70 000 documents exfiltrĂ©s Ă quatre hĂŽtels italiens. 13/08/2025: environ 3 600 documents attribuĂ©s Ă deux hĂŽtels supplĂ©mentaires (portant le total dâhĂŽtels concernĂ©s Ă dix au 13/08). 14/08/2025: environ 9 300 scans associĂ©s Ă deux nouvelles structures. Les documents volĂ©s constituent un actif de grande valeur pour des usages frauduleux, notamment:
đą UAT-7237 vise lâhĂ©bergement web taĂŻwanais : SoundBill, SoftEther VPN et Cobalt Strike
đ Source et contexte: Cisco Talos Blog publie une analyse dâ« UAT-7237 », un groupe APT sinophone actif depuis au moins 2022 et prĂ©sent...
đ cyberveille :
https://cyberveille.ch/posts/2025-08-15-uat-7237-vise-lhebergement-web-taiwanais-soundbill-softether-vpn-et-cobalt-strike/đ source :
https://blog.talosintelligence.com/uat-7237-targets-web-hosting-infra/#APT #Cobalt_Strike #CyberveilleUAT-7237 vise lâhĂ©bergement web taĂŻwanais : SoundBill, SoftEther VPN et Cobalt Strike
Source et contexte: Cisco Talos Blog publie une analyse dâ« UAT-7237 », un groupe APT sinophone actif depuis au moins 2022 et prĂ©sentant de fortes similitudes avec « UAT-5918 ». LâĂ©quipe dĂ©crit une intrusion rĂ©cente contre un fournisseur dâhĂ©bergement web Ă TaĂŻwan, avec un fort objectif de persistance Ă long terme et un outillage majoritairement open source, personnalisĂ© pour lâĂ©vasion.
Principales tactiques et objectifs đŻ: Le groupe obtient lâaccĂšs initial en exploitant des vulnĂ©rabilitĂ©s connues sur des serveurs exposĂ©s, effectue une reconnaissance rapide (nslookup, systeminfo, ping, ipconfig) et sâappuie sur des LOLBins et des outils WMI (SharpWMI, WMICmd) pour lâexĂ©cution distante et la prolifĂ©ration. La persistance et lâaccĂšs se font surtout via SoftEther VPN et RDP, avec un dĂ©ploiement de web shells trĂšs sĂ©lectif. UAT-7237 privilĂ©gie Cobalt Strike comme implant, au contraire de UAT-5918 qui use surtout de Meterpreter et multiplie les web shells. Lâacteur cible notamment les accĂšs VPN et lâinfrastructure cloud de la victime.
ThaĂŻlande : saisie dâun « SMS blaster » mobile et arrestation de deux suspects Ă Bangkok
Selon Commsrisk (commsrisk.com), une confĂ©rence de presse conjointe de la Technology Crime Suppression Division (police thaĂŻlandaise) et dâAIS a annoncĂ© lâarrestation de deux jeunes hommes et la saisie dâun « SMS blaster » (fausse station de base) utilisĂ© pour envoyer des SMS frauduleux depuis une voiture Ă Bangkok.
đ OpĂ©ration et arrestations. Ă la suite du signalement dâun SMS suspect par un particulier, lâĂ©quipement a Ă©tĂ© localisĂ© le 8 aoĂ»t dans une Mazda circulant sur New Petchburi Road (Bangkok). Le vĂ©hicule a Ă©tĂ© suivi jusquâĂ une station-service dans le district de Bang Phlat, oĂč les deux occupants (dĂ©but de vingtaine) ont Ă©tĂ© arrĂȘtĂ©s. Lâun dâeux a dĂ©clarĂ© avoir Ă©tĂ© recrutĂ© via Telegram par un homme chinois, pour THB 2âŻ500 (â USD 75) par jour. Ils reconnaissent trois sorties avec lâappareil, depuis le 2 aoĂ»t.
SnakeKeylogger : analyse et rĂšgles Suricata pour dĂ©tecter lâexfiltration SMTP encodĂ©e en Base64
Source : Trustwave (SpiderLabs Blog). Dans cette publication, des chercheurs présentent une méthodologie complÚte pour analyser le malware SnakeKeylogger et élaborer des signatures de détection efficaces. Ils montrent comment le code malveillant contourne des rÚgles existantes en encodant en Base64 des données exfiltrées via SMTP, et proposent un flux de travail pratique pour collecter des IOC et affiner continuellement les signatures.
đŹ Comportement rĂ©seau et Ă©vasion : lâanalyse met en Ă©vidence des connexions vers des IP malveillantes sur les ports 80, 443 et 587, et lâusage de lâencodage Base64 dans le trafic SMTP afin de contourner les rĂšgles de dĂ©tection.
đą PST: des hackers proârusses auraient ouvert les vannes dâun barrage norvĂ©gien
đ Selon politico.eu, le Service de sĂ©curitĂ© de la police norvĂ©gienne (PST) soupçonne des hackers proârusses dâavoir sabotĂ©...
đ cyberveille :
https://cyberveille.ch/posts/2025-08-15-pst-des-hackers-pro-russes-auraient-ouvert-les-vannes-dun-barrage-norvegien/đ source :
https://www.politico.eu/article/russian-hackers-took-control-norwegian-dam-police-chief-says/#OT_ICS #guerre_hybride #CyberveillePST: des hackers proârusses auraient ouvert les vannes dâun barrage norvĂ©gien
Selon politico.eu, le Service de sĂ©curitĂ© de la police norvĂ©gienne (PST) soupçonne des hackers proârusses dâavoir sabotĂ© un barrage dans le sudâouest de la NorvĂšge en avril, dans le cadre des opĂ©rations cyber liĂ©es Ă la guerre hybride.
Le quotidien VG rapporte que les assaillants ont compromis le systĂšme de contrĂŽle du barrage et ouvert des vannes pendant environ quatre heures, provoquant un important dĂ©versement dâeau avant que les vannes ne soient refermĂ©es. Le barrage se situe Ă Bremanger, Ă environ 150 km au nord de Bergen, et nâest pas utilisĂ© pour la production dâĂ©nergie.
PolarEdge : un botnet IoT de type ORB exploite un backdoor TLS pour proxifier prĂšs de 40 000 appareils
Selon Censys (billet de blog), PolarEdge est un botnet IoT soupçonnĂ© dâopĂ©rer comme un rĂ©seau ORB (Operational Relay Box), ayant compromis prĂšs de 40 000 appareils depuis 2023 et sâappuyant sur un backdoor TLS personnalisĂ©.
âą Nature et portĂ©e đĄ PolarEdge met en place une infrastructure de proxy rĂ©sidentiel Ă long terme pour des opĂ©rations malveillantes, en maintenant une faible visibilitĂ© via des ports Ă©levĂ©s et un chiffrement lĂ©gitime. La concentration gĂ©ographique est Ă©levĂ©e en CorĂ©e du Sud (51,6 %) et aux ĂtatsâUnis (21,1 %).
OFAC sanctionne le rĂ©seau Garantex/Grinex et le jeton A7A5 utilisĂ© pour lâĂ©vasion des sanctions
Selon TRM Labs, lâOFAC (U.S. Treasury) a sanctionnĂ© des figures clĂ©s derriĂšre lâĂ©change crypto Garantex, son successeur Grinex, ainsi que le jeton A7A5 adossĂ© au rouble, utilisĂ© pour contourner les sanctions. LâenquĂȘte rĂ©vĂšle une planification avancĂ©e : Grinex a Ă©tĂ© Ă©tabli au Kirghizstan des mois avant le dĂ©mantĂšlement de Garantex en mars 2025, et le rĂ©seau a facilitĂ© des centaines de millions de dollars de transactions illicites, dont des produits de ransomware (Conti, LockBit, Ryuk) et des flux provenant de darknet markets.
OFAC sanctionne des entités liées au stablecoin rouble A7A5, avec des liens on-chain vers Garantex et Grinex
Selon Chainalysis, lâOFAC americaine a sanctionnĂ© plusieurs entitĂ©s associĂ©es au rĂ©seau de stablecoin A7A5 liĂ© au rouble, dont la sociĂ©tĂ© kirghize Old Vector et lâexchange Grinex. Le jeton est garanti par des dĂ©pĂŽts au sein de la banque russe sanctionnĂ©e Promsvyazbank (PSB) et sâinscrit dans un effort systĂ©matique visant Ă bĂątir une infrastructure financiĂšre alternative pour contourner les sanctions via les mixeurs crypto.
Sur le plan technique, A7A5 opĂšre sur les blockchains Tron et Ethereum. Lâanalyse on-chain met en Ă©vidence des connexions directes entre les exchanges sanctionnĂ©s Garantex et Grinex Ă travers des transferts de tokens et une infrastructure partagĂ©e. Le DEX A7A5 permet des Ă©changes vers des stablecoins grand public, crĂ©ant des ponts vers lâĂ©cosystĂšme crypto plus large đ.
đą MadeYouReset (CVE-2025-8671) : une vulnĂ©rabilitĂ© HTTP/2 DoS contournant la mitigation de Rapid Reset
đ Source : Gal Bar Nahum's Blog â Le 13 aoĂ»t 2025, le chercheur Gal Bar Nahum a dĂ©voilĂ© « MadeYouReset » (CVEâ2025â8671), une...
đ cyberveille :
https://cyberveille.ch/posts/2025-08-15-madeyoureset-cve-2025-8671-une-vulnerabilite-http-2-dos-contournant-la-mitigation-de-rapid-reset/đ source :
https://galbarnahum.com/posts/made-you-reset-intro#CVE_2025_8671 #DoS #CyberveilleMadeYouReset (CVE-2025-8671) : une vulnérabilité HTTP/2 DoS contournant la mitigation de Rapid Reset
Source : Gal Bar Nahumâs Blog â Le 13 aoĂ»t 2025, le chercheur Gal Bar Nahum a dĂ©voilĂ© « MadeYouReset » (CVEâ2025â8671), une vulnĂ©rabilitĂ© HTTP/2 de type dĂ©ni de service qui exploite les mĂ©canismes de contrĂŽle de flux/erreurs du protocole pour contourner les limites de concurrence, en collaboration avec Prof. Anat BremlerâBarr et Yaniv Harel (UniversitĂ© de Tel-Aviv), avec le soutien partiel dâImperva.
đ Principe clĂ©: MadeYouReset sâappuie sur lâidĂ©e de « Rapid Reset » (2023) mais avec un twist: au lieu que le client annule la requĂȘte, lâattaquant provoque des erreurs de flux afin que le serveur Ă©mette un RST_STREAM aprĂšs le dĂ©marrage dâune requĂȘte valide. Comme les flux rĂ©initialisĂ©s ne comptent plus dans MAX_CONCURRENT_STREAMS, le serveur poursuit souvent le travail backend (calcul de rĂ©ponse) malgrĂ© la fermeture du flux cĂŽtĂ© HTTP/2, ce qui permet de crĂ©er un nombre non bornĂ© de travaux concurrents et dâinduire un DoS.
CybervVeille.ch