Accountovernames, spionagecampagnes en datadiefstalprogramma’s
Proofpoint: opvallende cyberontwikkelingen van het tweede kwartaal dit jaar
Het dreigingslandschap blijft zich in het tweede kwartaal van 2025 door evolueren, voornamelijk op het gebied van dreigingsactoren. Uit onderzoek van cybersecuritybedrijf Proofpoint blijkt bijvoorbeeld dat cybercriminelen het TeamFiltration pentesting framework gebruiken om Entra ID gebruikersaccounts te ondermijnen voor account takeovers. Ook kwam het onderzoeksteam, in samenwerking met ThreatRay, achter een achtjarige spionagecampagne uit India. Ook zijn er ontwikkelingen geweest met datadiefstalprogramma Lumma Stealer. Als laatste hebben onderzoekers een nieuwe Malware-as-a-Service (MaaS) ontdekt, Amatera Stealer genaamd.
1. Accountovernames door TeamFiltration
Onderzoekers ontdekten recent een account takeover campaign (ATO), UNK_SneakyStrike genoemd. Deze campagne gebruikt het TeamFiltration pentesting framework om zich op Entra ID gebruikersaccounts te richten via de Microsoft Teams API en Amazon Web Services (AWS) servers. De aanvallers verkregen toegang tot native applicaties zoals Microsoft Teams, OneDrive, Outlook en anderen.
2. Achtjarige spionagecampagne TA397
Spionagecampagne TA397 richt zich voornamelijk op Europese instanties die banden hebben met China, Pakistan en andere Indiase buurlanden. Ook richten ze zich op China en Zuid-Amerika. Hierbij focussen zij zich op overheden, diplomatieke instanties en verdedigingsorganisaties. De doelwitten, de onderwerpen en het gebruikte lokaas wijzen allemaal naar de inlichtingenbelangen van India.
3. Lumma Stealer
Microsoft is gaan samenwerken met wetshandhaving om datadiefstalprogramma Lumma Stealer. Selena Larson, Senior Threat Intelligence Analyst bij Proofpoint, vertelt daar het volgende over:
“Lumma Stealer is een erg populair datadiefstalprogramma en wordt gebruikt in campagnes van meer ontwikkelde ontwikkelde cybercriminelen, in tegenstelling tot dreigingsactoren die basisprogramma’s gebruiken. Het is een malware-as-a-service (MaaS) en wordt gekocht door een groot aantal verschillende dreigingsactoren voor veel uiteenlopende campagnes. Het is de meest populaire MaaS in onze gegevens.
4. Amatera Stealer
Onderzoekers van Proofpoint hebben een nieuwe MaaS ontdekt, Amatera Stealer genaamd. Dit is een vernieuwde en geüpgradede versie van de ACR Stealer. Deze nieuwste variant introduceert nieuwe functies, zoals geavanceerde afleveringsmechanismen, anti-analyseverdediging en een vernieuwde controlestructuur. Hierdoor is deze stealer meer verborgen en gevaarlijker. Deze wordt verkocht als abonnementsplan door makkelijk bereikbare online panels. Deze panels hebben klantenservice via Telegram, waardoor Amatera het makkelijker maakt voor cybercriminelen om datadiefstalcampagnes te beginnen.
Meer over
Lees ook
Proofpoint: door overheid gesponsorde actoren gebruiken ClickFix
Onderzoekers van cybersecuritybedrijf Proofpoint delen nieuwe inzichten rondom social engineeringstecniek ClickFix. Uit de laatste bevindingen blijkt dat de overheid actoren sponsort bij het inzetten van deze aanvalsmethode
Een miljoen Phishing-as-a-Service-aanvallen in twee maanden benadrukken een dreiging die zich snel ontwikkelt
Een nieuw rapport over de tools en technieken die bij deze aanvallen worden gebruikt laat zien dat PhaaS-platforms zich snel ontwikkelen, gevaarlijker en beter worden in het ontwijken van detectie. Veel aanvallen zijn gericht op gebruikers van populaire cloud platforms zoals Microsoft 365.
KnowBe4-rapport: alarmerende toename van cyberaanvallen in detailhandel
De retailsector is een steeds gewilder doelwit voor cybercriminelen. Het Global Retail Report 2025 van KnowBe4 toont een alarmerende toename van cyberaanvallen in deze sector. Zo steeg de aanvalsfrequentie in 2023 al met 56% ten opzichte van het jaar daarvoor. Dit plaatst detailhandel in de top vijf sectoren die het doelwit zijn van cybercriminele1