Teams-phishing installeert A0Backdoor, Signal-kapingcampagne, Salesforce Aura onder aanval
1. Microsoft Teams-phishing verspreidt A0Backdoor-malware
🚨 KRITIEK — Actieve campagne gericht op financiën & gezondheidszorg
Dreigingsactoren gebruiken Microsoft Teams-berichten om medewerkers in de financiële en gezondheidszorgsector aan te vallen. Na contact via Teams overtuigen de aanvallers slachtoffers om op afstand toegang te verlenen via Quick Assist, een legitieme Windows-tool voor ondersteuning op afstand. Eenmaal verbonden installeren ze een tot nu toe ongedocumenteerde backdoor genaamd A0Backdoor.
De aanvalsketen valt op door de geavanceerdheid van de social engineering — aanvallers doen zich voor als IT-supportmedewerkers en creëren urgentie rond vermeende beveiligingsproblemen. A0Backdoor biedt persistente toegang, credential harvesting en mogelijkheden voor laterale beweging.
Vereiste acties: Beperk het gebruik van Quick Assist via groepsbeleid. Informeer medewerkers over ongevraagde Teams-ondersteuningsverzoeken. Monitor ongebruikelijke activiteit van remote access tools.
2. Google: cloudaanvallen verschuiven van inloggegevens naar kwetsbaarheidsexploitatie
Het nieuwste dreigingsintelligentierapport van Google onthult een significante verschuiving in cloudaanvalstactieken. Hackers misbruiken steeds vaker nieuw openbaar gemaakte kwetsbaarheden in software van derden in plaats van te vertrouwen op zwakke of gestolen inloggegevens voor initiële cloudtoegang.
De meest alarmerende bevinding: het tijdvenster tussen openbaarmaking van kwetsbaarheden en actief misbruik is gekrompen van weken naar slechts dagen, soms uren. Dit legt enorme druk op beveiligingsteams om onmiddellijk te patchen.
| Metriek | Voorheen | Huidig |
|---|---|---|
| Gem. tijd tot misbruik | 2–4 weken | 1–3 dagen |
| Top initiële toegangsvector | Gestolen inloggegevens | Kwetsbaarheidsexploitatie |
| Betrokkenheid software van derden | Matig | Primair doelwit |
3. Russische GRU-hackers kapen Signal- & WhatsApp-accounts
🚨 STAATSGESPONSORD — Waarschuwing Nederlandse overheid
De Nederlandse overheid heeft een formele waarschuwing uitgegeven over een lopende Russische door de staat gesponsorde phishingcampagne die gelinkt is aan de GRU (Russische militaire inlichtingendienst). De campagne richt zich op overheidsfunctionarissen, militair personeel en journalisten, en probeert hun Signal- en WhatsApp-accounts te kapen.
Aanvallers gebruiken geavanceerde social engineering om doelwitten ertoe te bewegen hun berichtenaccounts te koppelen aan door aanvallers beheerde apparaten. Eenmaal gecompromitteerd krijgen de actoren volledige toegang tot versleutelde gesprekken, contacten en gedeelde media.
Vereiste acties: Controleer gekoppelde apparaten in Signal- en WhatsApp-instellingen. Schakel registratievergrendeling in bij Signal. Informeer hoog-risico personeel over deze specifieke dreiging.
4. Ericsson US-datalek
Ericssons Amerikaanse dochteronderneming heeft een datalek gemeld als gevolg van een compromittering van een externe dienstverlener. Medewerkers- en klantgegevens zijn gestolen, waaronder persoonlijk identificeerbare informatie.
Dit incident onderstreept het aanhoudende risico van supply chain-aanvallen — zelfs wanneer je eigen beveiliging robuust is, kunnen leveranciers en dienstverleners de zwakke schakel worden.
5. ShinyHunters misbruiken Salesforce Aura-kwetsbaarheid
⚠️ ACTIEF MISBRUIK — Salesforce Experience Cloud
De beruchte afpersingsgroep ShinyHunters misbruikt actief een nieuwe bug in Salesforce Experience Cloud (Aura-framework) om gegevens te stelen van verkeerd geconfigureerde instanties. Organisaties met blootgestelde Salesforce Experience Cloud-sites lopen direct gevaar.
ShinyHunters staat bekend om massale datalekken en chanteert slachtoffers doorgaans door te dreigen met het publiceren van gestolen gegevens. De Salesforce Aura-kwetsbaarheid maakt ongeautoriseerde toegang tot gevoelige records mogelijk wanneer instanties onjuist zijn geconfigureerd.
Vereiste acties: Controleer onmiddellijk Salesforce Experience Cloud-configuraties. Bekijk gastgebruikersrechten. Controleer op onverwachte datatoegangspatronen.
6. Kwaadaardig npm-pakket doet zich voor als OpenClaw
Een kwaadaardig npm-pakket genaamd @openclaw-ai/openclawai is ontdekt dat zich voordoet als een legitiem installatieprogramma. Het pakket installeert een Remote Access Trojan (RAT) en steelt gevoelige gegevens van macOS-systemen, waaronder:
- Systeeminloggegevens en sleutelhanger-data
- Browsercookies en opgeslagen wachtwoorden
- Cryptocurrency-walletbestanden
- SSH-sleutels en configuratie
- iMessage-geschiedenis
Het pakket had 178 downloads voordat het werd gedetecteerd. Dit is een klassieke supply chain-aanval die misbruik maakt van het vertrouwen in pakketbeheerders.
7. Noord-Koreaanse UNC4899 compromitteert cryptobedrijf
Googles Mandiant schrijft de inbraak bij een cryptobedrijf toe aan UNC4899 (ook bekend als TraderTraitor), een Noord-Koreaanse dreigingsgroep. De aanvallers compromitteerden het doelwit via een getrojaniseerd AirDrop-bestand en bewogen zich vervolgens naar cloudinfrastructuur met behulp van living-off-the-cloud-technieken — het misbruiken van legitieme clouddiensten om op te gaan in normale activiteit.
Dit vertegenwoordigt een evolutie in Noord-Koreaanse cyberoperaties en toont groeiende geavanceerdheid in cloud-native aanvalstechnieken.
8. Chrome-extensies worden kwaadaardig na eigendomsoverdracht
Twee Chrome-extensies bleken kwaadaardig te zijn geworden nadat hun eigendom was overgedragen aan nieuwe ontwikkelaars. De nieuwe eigenaren publiceerden updates die code-injectie en gegevensdiefstal mogelijk maakten, wat gebruikers trof die de extensies hadden geïnstalleerd met automatische updates ingeschakeld.
Vereiste acties: Controleer browserextensies in uw hele organisatie. Implementeer een toelatingslijst voor extensies. Monitor op onverwachte extensie-updates.
9. Cisco Catalyst SD-WAN CVE-2026-20127 massaal misbruikt
🚨 KRITIEK CVE — Actief massaal misbruik
Een kritieke kwetsbaarheid in Cisco Catalyst SD-WAN (CVE-2026-20127) wordt nu massaal misbruikt vanaf talrijke IP-adressen. Organisaties die getroffen Cisco SD-WAN-infrastructuur draaien, moeten onmiddellijk patchen of mitigaties toepassen.
Vereiste acties: Pas de patches uit Cisco's beveiligingsadvies onmiddellijk toe. Als patchen niet mogelijk is, implementeer aanbevolen workarounds en monitor op indicatoren van compromittering.
10. ClickFix-aanval evolueert met Windows Terminal
De ClickFix social engineering-techniek heeft zich verder ontwikkeld. Aanvallers gebruiken nu nepCAPTCHA-pagina's die slachtoffers instrueren om kwaadaardige commando's in Windows Terminal te plakken in plaats van in het traditionele Uitvoeren-dialoogvenster. Deze ontwijkingstechniek omzeilt meerdere beveiligingscontroles die het Uitvoeren-dialoogvenster bewaken.
De overstap naar Windows Terminal is significant omdat het een krachtigere uitvoeringsomgeving biedt en mogelijk niet wordt gemonitord door legacy endpoint-detectietools.
11. Meer headlines
| Bericht | Impact |
|---|---|
| FBI onderzoekt inbreuk op bewakingssysteem | FBI onderzoekt verdachte cyberactiviteit op een systeem met gevoelige bewakingsinformatie |
| CISA voegt iOS-kwetsbaarheden toe aan KEV | Coruna exploit kit richt zich op 23 kwetsbaarheden in iOS 13–17.2.1; staatsniveau |
| Update VS-cyberstrategie | Nieuwe strategie gericht op tegenstanders, bescherming kritieke infrastructuur en AI/post-quantumcryptografie |
Hoe KENSAI u beschermt
✅ Realtime CVE-monitoring — CVE-2026-20127 en alle kritieke kwetsbaarheden worden binnen uren na openbaarmaking gevolgd
✅ Supply chain-analyse — Detectie van kwaadaardige pakketten zoals het nep-OpenClaw npm-installatieprogramma
✅ Cloud-configuratieaudit — Salesforce-misconfiguraties opsporen voordat ShinyHunters dat doet
✅ Continu aanvalsoppervlakbeheer — Monitoring van uw blootstelling over alle vectoren
Aanbevolen acties
- Direct: Patch Cisco SD-WAN CVE-2026-20127. Beperk Quick Assist via groepsbeleid.
- Vandaag: Controleer Salesforce Experience Cloud-configuraties. Bekijk gekoppelde apparaten in Signal/WhatsApp.
- Deze week: Controleer browserextensies in de hele organisatie. Controleer npm-afhankelijkheden op kwaadaardige pakketten.
- Doorlopend: Implementeer continu kwetsbaarheidsbeheer. Informeer personeel over Teams-phishing en ClickFix-technieken.
Bescherm uw organisatie met KENSAI
AI-gedreven kwetsbaarheidsscanning en continue beveiligingsmonitoring. Start vandaag nog uw gratis scan.
Start gratis scan →Blijf veilig. Blijf waakzaam.
🗡️ KENSAI Beveiligingsteam