Accountovernames, spionagecampagnes en datadiefstalprogramma’s
Proofpoint: opvallende cyberontwikkelingen van het tweede kwartaal dit jaar
Het dreigingslandschap blijft zich in het tweede kwartaal van 2025 door evolueren, voornamelijk op het gebied van dreigingsactoren. Uit onderzoek van cybersecuritybedrijf Proofpoint blijkt bijvoorbeeld dat cybercriminelen het TeamFiltration pentesting framework gebruiken om Entra ID gebruikersaccounts te ondermijnen voor account takeovers. Ook kwam het onderzoeksteam, in samenwerking met ThreatRay, achter een achtjarige spionagecampagne uit India. Ook zijn er ontwikkelingen geweest met datadiefstalprogramma Lumma Stealer. Als laatste hebben onderzoekers een nieuwe Malware-as-a-Service (MaaS) ontdekt, Amatera Stealer genaamd.
1. Accountovernames door TeamFiltration
Onderzoekers ontdekten recent een account takeover campaign (ATO), UNK_SneakyStrike genoemd. Deze campagne gebruikt het TeamFiltration pentesting framework om zich op Entra ID gebruikersaccounts te richten via de Microsoft Teams API en Amazon Web Services (AWS) servers. De aanvallers verkregen toegang tot native applicaties zoals Microsoft Teams, OneDrive, Outlook en anderen.
2. Achtjarige spionagecampagne TA397
Spionagecampagne TA397 richt zich voornamelijk op Europese instanties die banden hebben met China, Pakistan en andere Indiase buurlanden. Ook richten ze zich op China en Zuid-Amerika. Hierbij focussen zij zich op overheden, diplomatieke instanties en verdedigingsorganisaties. De doelwitten, de onderwerpen en het gebruikte lokaas wijzen allemaal naar de inlichtingenbelangen van India.
3. Lumma Stealer
Microsoft is gaan samenwerken met wetshandhaving om datadiefstalprogramma Lumma Stealer. Selena Larson, Senior Threat Intelligence Analyst bij Proofpoint, vertelt daar het volgende over:
“Lumma Stealer is een erg populair datadiefstalprogramma en wordt gebruikt in campagnes van meer ontwikkelde ontwikkelde cybercriminelen, in tegenstelling tot dreigingsactoren die basisprogramma’s gebruiken. Het is een malware-as-a-service (MaaS) en wordt gekocht door een groot aantal verschillende dreigingsactoren voor veel uiteenlopende campagnes. Het is de meest populaire MaaS in onze gegevens.
4. Amatera Stealer
Onderzoekers van Proofpoint hebben een nieuwe MaaS ontdekt, Amatera Stealer genaamd. Dit is een vernieuwde en geüpgradede versie van de ACR Stealer. Deze nieuwste variant introduceert nieuwe functies, zoals geavanceerde afleveringsmechanismen, anti-analyseverdediging en een vernieuwde controlestructuur. Hierdoor is deze stealer meer verborgen en gevaarlijker. Deze wordt verkocht als abonnementsplan door makkelijk bereikbare online panels. Deze panels hebben klantenservice via Telegram, waardoor Amatera het makkelijker maakt voor cybercriminelen om datadiefstalcampagnes te beginnen.
Meer over
Lees ook
Hoe het hoogseizoen retailers blootstelt aan schade door cybercriminaliteit
Voor Nederlandse retailers behoren Black Friday, Sinterklaas en kerst tot de drukste perioden van het jaar. Deze dagen trekken een enorme wissel op hun webwinkel, het betalingsverkeer, logistieke processen, voorraadsystemen en tal van andere bedrijfsaspecten. Deze piekperioden gaan niet ongemerkt voorbij aan cybercriminelen.
Opnieuw criminele infrastructuur ontmanteld in internationale ransomware-operatie
In Operatie Endgame zijn deze week belangrijke spelers uitgeschakeld die een sleutelrol hadden in de internationale cybercriminaliteit: een van de grootste infostealers Rhadamanthys, een Remote Access Trojan (RAT) VenomRAT en botnet Elysium.
Cybercriminelen doelen op vrachtwagens en logistiek
Proofpoint volgt een cluster van cybercriminele activiteiten die zich richt op transport- en logistieke bedrijven. Het cluster infecteert bedrijven in deze sector met Remote Monitoring and Management (RMM)-tools voor financieel gewin. In de geobserveerde campagnes proberen cybercriminelen bedrijven te infiltreren