📢 Obscura : un nouveau ransomware en Go se propage via les partages NETLOGON des contrôleurs de domaine
📝 Selon Huntress (blog), des chercheurs ont identifié un nouveau variant de ransomware, nommé 'Obscura', qui exploite le...
📖 cyberveille :
https://cyberveille.ch/posts/2025-09-03-obscura-un-nouveau-ransomware-en-go-se-propage-via-les-partages-netlogon-des-controleurs-de-domaine/🌐 source :
https://www.huntress.com/blog/obscura-ransomware-variant#IOC #NETLOGON #CyberveilleObscura : un nouveau ransomware en Go se propage via les partages NETLOGON des contrôleurs de domaine
Selon Huntress (blog), des chercheurs ont identifié un nouveau variant de ransomware, nommé ‘Obscura’, qui exploite les partages NETLOGON des contrôleurs de domaine pour une distribution automatique à l’échelle des réseaux d’entreprise. Ce variant s’inscrit dans une tendance d’émergence de nouvelles souches après les perturbations récentes des opérations de ransomware établies.
Points techniques clés 🔍
Langage/plateforme : binaire compilé en Go ; vérifie la présence de privilèges administrateur avant exécution ; comportement modulé via la variable d’environnement DAEMON. Chiffrement : échange de clés Curve25519 avec XChaCha20 ; ajoute un pied de page de 64 octets contenant la signature ‘OBSCURA!’, la clé publique et le nonce ; conserve la fonctionnalité système en excluant 15 extensions de fichiers. Évasion/désactivation : termine 120 processus prédéfinis visant notamment des outils de sécurité et des bases de données ; supprime les copies d’ombre (VSS). Propagation : mise en place de tâches planifiées exécutées depuis les partages NETLOGON des contrôleurs de domaine 🖥️. Impact et portée 🔐
Microsoft Patch Tuesday, February 2021 Edition — Krebs on Security
Microsoft Patch Tuesday, February 2021 Edition — Krebs on Security
“Le mode enforcement sera activé sur tous les contrôleurs de domaine Windows et bloquera les connexions vulnérables” : seconde salve de mise à jour pour Zerologon ! | SOSOrdi.net - L'actualité informatique gratuite
Critical MobileIron RCE Flaw Under Active Attack
Attackers are targeting the critical remote code-execution flaw to compromise systems in the healthcare, local government, logistics and legal sectors, among others.
Zerologon : une nouvelle
Alors que la vulnérabilité relative à Netlogon a été colmatée depuis la fin du mois d'Août...
Microsoft Netlogon exploitation continues to rise - Cisco Talos is tracking a spike in exploitation attempts against the Microsoft vulnerability CVE-202...
http://feedproxy.google.com/~r/feedburner/Talos/~3/WSY_D8SbuKs/netlogon-rises.html #cve-2020-1472
#ciscotalos #microsoft #netlogon #snort
Microsoft Netlogon exploitation continues to rise
A blog from the world class Intelligence Group, Talos, Cisco's Intelligence Group
« Microsoft surveille activement l'activité » : Zerologon, malgré le patch disponible depuis fin Août, perdure ! | SOSordi.net
Une vulnérabilité au sein de Netlogon critique permettait - et permet, potentiellement ! - d'élever les privilèges-administrateurs...
Zerologon Patches Roll Out Beyond Microsoft
A Samba patch and a micropatch for end-of-life servers have debuted in the face of the critical vulnerability.
Уязвимость ZeroLogon затрагивает некоторые версии Samba
Уязвимость позволяет получить доступ к домену на уровне администратора.
CyberVeille.ch
ITSEC News
dispatch
🖱🛠👉👕👈 SOSOrdinet 🎣🖥️🐛 🗞️
SecurityLab