Accountovernames, spionagecampagnes en datadiefstalprogramma’s
Proofpoint: opvallende cyberontwikkelingen van het tweede kwartaal dit jaar
Het dreigingslandschap blijft zich in het tweede kwartaal van 2025 door evolueren, voornamelijk op het gebied van dreigingsactoren. Uit onderzoek van cybersecuritybedrijf Proofpoint blijkt bijvoorbeeld dat cybercriminelen het TeamFiltration pentesting framework gebruiken om Entra ID gebruikersaccounts te ondermijnen voor account takeovers. Ook kwam het onderzoeksteam, in samenwerking met ThreatRay, achter een achtjarige spionagecampagne uit India. Ook zijn er ontwikkelingen geweest met datadiefstalprogramma Lumma Stealer. Als laatste hebben onderzoekers een nieuwe Malware-as-a-Service (MaaS) ontdekt, Amatera Stealer genaamd.
1. Accountovernames door TeamFiltration
Onderzoekers ontdekten recent een account takeover campaign (ATO), UNK_SneakyStrike genoemd. Deze campagne gebruikt het TeamFiltration pentesting framework om zich op Entra ID gebruikersaccounts te richten via de Microsoft Teams API en Amazon Web Services (AWS) servers. De aanvallers verkregen toegang tot native applicaties zoals Microsoft Teams, OneDrive, Outlook en anderen.
2. Achtjarige spionagecampagne TA397
Spionagecampagne TA397 richt zich voornamelijk op Europese instanties die banden hebben met China, Pakistan en andere Indiase buurlanden. Ook richten ze zich op China en Zuid-Amerika. Hierbij focussen zij zich op overheden, diplomatieke instanties en verdedigingsorganisaties. De doelwitten, de onderwerpen en het gebruikte lokaas wijzen allemaal naar de inlichtingenbelangen van India.
3. Lumma Stealer
Microsoft is gaan samenwerken met wetshandhaving om datadiefstalprogramma Lumma Stealer. Selena Larson, Senior Threat Intelligence Analyst bij Proofpoint, vertelt daar het volgende over:
“Lumma Stealer is een erg populair datadiefstalprogramma en wordt gebruikt in campagnes van meer ontwikkelde ontwikkelde cybercriminelen, in tegenstelling tot dreigingsactoren die basisprogramma’s gebruiken. Het is een malware-as-a-service (MaaS) en wordt gekocht door een groot aantal verschillende dreigingsactoren voor veel uiteenlopende campagnes. Het is de meest populaire MaaS in onze gegevens.
4. Amatera Stealer
Onderzoekers van Proofpoint hebben een nieuwe MaaS ontdekt, Amatera Stealer genaamd. Dit is een vernieuwde en geüpgradede versie van de ACR Stealer. Deze nieuwste variant introduceert nieuwe functies, zoals geavanceerde afleveringsmechanismen, anti-analyseverdediging en een vernieuwde controlestructuur. Hierdoor is deze stealer meer verborgen en gevaarlijker. Deze wordt verkocht als abonnementsplan door makkelijk bereikbare online panels. Deze panels hebben klantenservice via Telegram, waardoor Amatera het makkelijker maakt voor cybercriminelen om datadiefstalcampagnes te beginnen.
Meer over
Lees ook
Cybercriminelen doelen op vrachtwagens en logistiek
Proofpoint volgt een cluster van cybercriminele activiteiten die zich richt op transport- en logistieke bedrijven. Het cluster infecteert bedrijven in deze sector met Remote Monitoring and Management (RMM)-tools voor financieel gewin. In de geobserveerde campagnes proberen cybercriminelen bedrijven te infiltreren
Hoe aanvallers OAuth-applicaties gebruiken om blijvend toegang te krijgen tot de cloud
Cybercriminele en staatsgesponsorde actoren gebruiken steeds vaker kwaadaardige OAuth-applicaties om blijvend toegang te krijgen binnen gecompromitteerde omgevingen. Deze aanvallen staan kwaadwillende actoren toe om gebruikersaccounts over te nemen
AI-app ‘Lovable’ gebruikt door cybercriminelen
Er wordt tegenwoordig vaak gevraagd naar de impact van AI op het dreigingslandschap. Hoewel er wordt geconstateerd dat door grote taalmodellen (LLM) gegenereerde e-mails of scripts weinig impact hebben, de drempel voor digitale criminaliteit door sommige AI-tools wordt verlaagd. Neem bijvoorbeeld diensten die met behulp van AI binnen enkele minute1