Accountovernames, spionagecampagnes en datadiefstalprogramma’s
Proofpoint: opvallende cyberontwikkelingen van het tweede kwartaal dit jaar
Het dreigingslandschap blijft zich in het tweede kwartaal van 2025 door evolueren, voornamelijk op het gebied van dreigingsactoren. Uit onderzoek van cybersecuritybedrijf Proofpoint blijkt bijvoorbeeld dat cybercriminelen het TeamFiltration pentesting framework gebruiken om Entra ID gebruikersaccounts te ondermijnen voor account takeovers. Ook kwam het onderzoeksteam, in samenwerking met ThreatRay, achter een achtjarige spionagecampagne uit India. Ook zijn er ontwikkelingen geweest met datadiefstalprogramma Lumma Stealer. Als laatste hebben onderzoekers een nieuwe Malware-as-a-Service (MaaS) ontdekt, Amatera Stealer genaamd.
1. Accountovernames door TeamFiltration
Onderzoekers ontdekten recent een account takeover campaign (ATO), UNK_SneakyStrike genoemd. Deze campagne gebruikt het TeamFiltration pentesting framework om zich op Entra ID gebruikersaccounts te richten via de Microsoft Teams API en Amazon Web Services (AWS) servers. De aanvallers verkregen toegang tot native applicaties zoals Microsoft Teams, OneDrive, Outlook en anderen.
2. Achtjarige spionagecampagne TA397
Spionagecampagne TA397 richt zich voornamelijk op Europese instanties die banden hebben met China, Pakistan en andere Indiase buurlanden. Ook richten ze zich op China en Zuid-Amerika. Hierbij focussen zij zich op overheden, diplomatieke instanties en verdedigingsorganisaties. De doelwitten, de onderwerpen en het gebruikte lokaas wijzen allemaal naar de inlichtingenbelangen van India.
3. Lumma Stealer
Microsoft is gaan samenwerken met wetshandhaving om datadiefstalprogramma Lumma Stealer. Selena Larson, Senior Threat Intelligence Analyst bij Proofpoint, vertelt daar het volgende over:
“Lumma Stealer is een erg populair datadiefstalprogramma en wordt gebruikt in campagnes van meer ontwikkelde ontwikkelde cybercriminelen, in tegenstelling tot dreigingsactoren die basisprogramma’s gebruiken. Het is een malware-as-a-service (MaaS) en wordt gekocht door een groot aantal verschillende dreigingsactoren voor veel uiteenlopende campagnes. Het is de meest populaire MaaS in onze gegevens.
4. Amatera Stealer
Onderzoekers van Proofpoint hebben een nieuwe MaaS ontdekt, Amatera Stealer genaamd. Dit is een vernieuwde en geüpgradede versie van de ACR Stealer. Deze nieuwste variant introduceert nieuwe functies, zoals geavanceerde afleveringsmechanismen, anti-analyseverdediging en een vernieuwde controlestructuur. Hierdoor is deze stealer meer verborgen en gevaarlijker. Deze wordt verkocht als abonnementsplan door makkelijk bereikbare online panels. Deze panels hebben klantenservice via Telegram, waardoor Amatera het makkelijker maakt voor cybercriminelen om datadiefstalcampagnes te beginnen.
Meer over
Lees ook
Orange Cyberdefense: “Verzwakking van LockBit en Everest geen reden om te juichen”
Het lijkt een overwinning: de gevreesde Cyber Extortion-groepen (CyX) LockBit en Everest zijn gehackt. Bij LockBit werd een interne database gelekt met gevoelige gegevens, waaronder chatlogs en wachtwoorden. Hoewel dit nieuws op het eerste gezicht opluchting kan geven, waarschuwt Jort Kollerie van Orange Cyberdefense
Proofpoint: door overheid gesponsorde actoren gebruiken ClickFix
Onderzoekers van cybersecuritybedrijf Proofpoint delen nieuwe inzichten rondom social engineeringstecniek ClickFix. Uit de laatste bevindingen blijkt dat de overheid actoren sponsort bij het inzetten van deze aanvalsmethode
Een miljoen Phishing-as-a-Service-aanvallen in twee maanden benadrukken een dreiging die zich snel ontwikkelt
Een nieuw rapport over de tools en technieken die bij deze aanvallen worden gebruikt laat zien dat PhaaS-platforms zich snel ontwikkelen, gevaarlijker en beter worden in het ontwijken van detectie. Veel aanvallen zijn gericht op gebruikers van populaire cloud platforms zoals Microsoft 365.