Een kijkje in het draaiboek van een vrachtdief na de inbraak
Onderzoekers van cybersecuritybedrijf Proofpoint voerden eind februari 2026 een kwaadaardige payload van een dreigingsactor uit binnen een gecontroleerde lokomgeving. Deze werd beheerd door Deception.pro, een partner van het cybersecuritybedrijf. De payload had het gemunt op transportbedrijven. Hoewel de omgeving geen vervoersbedrijf vertegenwoordigde, bleef deze meer dan een maand lang gecompromitteerd. Dit bood zeldzaam, uitgebreid inzicht in de activiteiten, tools en besluitvorming na de compromittering.
Proofpoint documenteerde eerder de campagnes van deze dreigingsactor tegen transport en logistieke bedrijven. Deze hadden als doel om ladingdiefstal en vrachtfraude te vergemakkelijken. In dit geval bracht de langdurige interactie aan het licht dat er sprake was van persistentie via meerdere remote management tools (RMM). Ook gebruikte deze actor een voorheen onbekende Signing-as-a-Service mogelijkheid. Deze is ontworpen om detectie te omzeilen en securitywaarschuwingen te onderdrukken. Daarnaast onthulde deze interactie een uitgebreide verkenning na de inbreuk.
Het verkenningsonderzoek richtte zich op het in kaart brengen van financiële toegangsmogelijkheden zoals bank-, boekhoud- en belastingsoftware, en geldtransferdiensten. De andere focusgroepen voor dit onderzoek waren transportgerelateerde entiteiten, waaronder tankkaartdiensten, betalingsplatforms voor wagenparken en exploitanten van vrachtbeurzen. Deze laatste activiteit was waarschijnlijk bedoeld ter ondersteuning van misdrijven in de transportsector, waaronder ladingdiefstal en de daarmee samenhangende financiële fraude.
Toegang behouden na de inbraak
Deze langdurige inbraak laat zien hoe financieel gemotiveerde cybercriminelen die transportbedrijven aanvallen, veel verder gaan dan het verkrijgen van de eerste toegang. Zij richten zich vooral op het behouden van toegang, verkenning en het verzamelen van inloggegevens. Zo vinden zij mogelijkheden voor financieel misbruik op transport- en aanverwante financiële platforms. Delen van deze activiteit komen ook met voorbereidend gedrag overeen, dat werd waargenomen bij operaties voor vrachtdiefstal en het omleiden van lading.
Met name het gebruik van een Signing-as-a-Service functie onderstreept de groeiende trend dat aanvallers legitieme vertrouwensmechanismen gebruiken om detectie te omzeilen. Voor transport-, logistieke en vrachtbedrijven benadrukken deze bevindingen het belang van het monitoren op ongeautoriseerde RMM-tools, verdachte PowerShell-activiteit en afwijkende browsergegevens in verband met toegang tot financiële platforms.
Klik hier om het volledige Engelstalige onderzoek te lezen.
Meer over
Lees ook
WatchGuard waarschuwt voor nieuwe FormBook-phishingaanvallen die beveiliging slimmer omzeilen
WatchGuard Technologies waarschuwt voor nieuwe phishingcampagnes die de bekende FormBook-malware verspreiden. Het risico zit volgens het bedrijf niet alleen in de malware zelf, maar ook in de manier waarop aanvallers te werk gaan. Ze gebruiken legitieme software en slimme versleuteling om beveiliging te ontwijken.
TrustConnect: een RAT in vermomming
Onderzoekers van cybersecuritybedrijf Proofpoint delen nieuwe inzichten naar aanleiding van hun onderzoek naar TrustConnect. Door de grote hoeveelheid bestaande tools voor remote access management waaruit cybercriminelen kunnen kiezen en de prevalentie in het dreigingslandschap, had TrustConnect veel weg van een legitieme RMM-tool.
WatchGuard: 1548% meer nieuwe malware in één kwartaal, aanvallen steeds complexer
WatchGuard Technologies signaleert een explosieve stijging van nieuwe, unieke malware. In het vierde kwartaal van 2025 lag het aantal nieuwe varianten 1548% hoger dan in het kwartaal ervoor. Daarnaast wist 23 procent van alle gedetecteerde malware traditionele, op handtekeningen gebaseerde beveiliging te omzeilen