剣 KENSAI
← All posts · security · 2026-03-11

FortiGate-inloggegevensdiefstal, KadNap-botnet treft 14.000 routers, Microsoft patcht 2 Zero-Days

← Terug naar Blog

1. FortiGate-firewalls misbruikt om AD-inloggegevens te stelen

🚨 KRITIEK — Actieve campagne gericht op gezondheidszorg & overheid

Dreigingsactoren misbruiken FortiGate Next-Generation Firewall (NGFW)-appliances als toegangspunten om netwerken van slachtoffers te compromitteren. De campagne richt zich op omgevingen in de gezondheidszorg, overheid en managed service providers, en extraheert configuratiebestanden die serviceaccount-inloggegevens en netwerktopologiegegevens bevatten.

Volgens SentinelOne misbruiken aanvallers recent openbaar gemaakte kwetsbaarheden — CVE-2025-59718, CVE-2025-59719 en CVE-2026-24858 — of zwakke inloggegevens om FortiGate-appliances te compromitteren. Omdat deze apparaten vaak verbonden zijn met Active Directory en LDAP voor op rollen gebaseerde beleidshandhaving, geeft een gecompromitteerd apparaat aanvallers de sleutels tot de volledige authenticatie-infrastructuur.

In een gedocumenteerd incident maakten aanvallers een frauduleus lokaal beheerdersaccount genaamd "support", configureerden vier permissieve firewallbeleidsregels en ontsleutelden later het configuratiebestand om LDAP-serviceaccount-inloggegevens in platte tekst te extraheren. Vervolgens registreerden ze frauduleuze werkstations in Active Directory voordat ze werden gedetecteerd.

Vereiste acties: FortiGate-appliances onmiddellijk bijwerken naar de nieuwste firmware. Alle serviceaccount-inloggegevens die verbonden zijn met FortiGate roteren. MFA inschakelen op alle beheerinterfaces. Monitoren op ongeautoriseerde accountcreatie en wijzigingen in firewallbeleid.


2. KadNap-botnet kaapt meer dan 14.000 ASUS-routers

🚨 KRITIEK — Meer dan 14.000 apparaten gecompromitteerd, 60% in de VS

Een nieuwe malware genaamd KadNap heeft meer dan 14.000 edge-netwerkapparaten geïnfecteerd — voornamelijk ASUS-routers — om een stealth proxy-botnet aan te drijven. Meer dan 60% van de slachtoffers bevindt zich in de Verenigde Staten.

Ontdekt door Black Lotus Labs bij Lumen, gebruikt KadNap een aangepaste versie van het Kademlia Distributed Hash Table (DHT)-protocol om zijn command-and-control-infrastructuur te verbergen binnen een peer-to-peer-netwerk, waardoor het zeer weerbaar is tegen takedown-pogingen.

Gecompromitteerde apparaten worden doorgesluisd naar een proxydienst genaamd Doppelgänger (een rebranding van het Faceless proxy-netwerk), die "100% anonieme" residentiële proxy's verkoopt in meer dan 50 landen. De malware richt zich op ARM- en MIPS-processoren, vestigt persistentie via cron-jobs en sluit actief SSH-toegang op poort 22 om herstel te voorkomen.

DetailInformatie
Geïnfecteerde apparatenMeer dan 14.000
Primair doelwitASUS-routers
VS-slachtoffers60%+
C2-protocolAangepast Kademlia DHT (P2P)
ProxydienstDoppelgänger (Faceless-rebranding)
Actief sindsAugustus 2025

Vereiste acties: ASUS-routerfirmware onmiddellijk bijwerken. Controleren op ongeautoriseerde cron-jobs en onbekende processen. Bij compromittering het apparaat naar fabrieksinstellingen resetten. Bekende C2-IP 212.104.141.140 blokkeren.


3. Microsoft maart 2026 Patch Tuesday: 2 Zero-Days, 79 kwetsbaarheden

⚠️ NU PATCHEN — 2 publiek bekendgemaakte Zero-Days

Microsofts maart 2026 Patch Tuesday pakt 79 beveiligingslekken aan, waaronder 2 publiek bekendgemaakte zero-day-kwetsbaarheden en 3 als kritiek geclassificeerde problemen. Twee kritieke remote code execution-bugs treffen Microsoft Office en kunnen worden geactiveerd via het voorbeeldvenster.

Belangrijke highlights uit deze patchcyclus:

  • SQL Server EoP Zero-Day: Onjuiste toegangscontrole verleent SQLAdmin-privileges via het netwerk
  • .NET DoS Zero-Day: Out-of-bounds leesactie maakt ongeautoriseerde denial of service via het netwerk mogelijk
  • CVE-2026-26110 & CVE-2026-26113: Kritieke Office RCE-bugs exploiteerbaar via het voorbeeldvenster
  • CVE-2026-26144: Excel-informatielekfout die gegevens kan exfiltreren via Microsoft Copilot — maakt zero-click gegevensdiefstal mogelijk via AI-agentmodus

De Copilot-gerelateerde kwetsbaarheid (CVE-2026-26144) is bijzonder opmerkelijk — het vertegenwoordigt een nieuw aanvalsvector waarbij AI-assistenten kunnen worden ingezet als wapen om gegevens te exfiltreren zonder gebruikersinteractie. Dit is een voorbode van het AI-gebaseerde aanvalsoppervlak waarmee organisaties nu worden geconfronteerd.

Vereiste acties: Alle maart 2026-patches onmiddellijk implementeren. Office-updates prioriteren vanwege exploitatie via het voorbeeldvenster. Copilot Agent-machtigingen herzien en netwerk-egress-mogelijkheden beperken.


4. BlackSanta EDR-killer richt zich op HR-afdelingen

⚠️ ACTIEVE CAMPAGNE — Russischtalige dreigingsactor

Een geavanceerde campagne die al meer dan een jaar loopt, levert een nieuwe EDR-killer genaamd BlackSanta aan HR-afdelingen via spear-phishing-e-mails met kwaadaardige ISO-bestanden vermomd als cv's.

De aanvalsketen is zeer ontwijkend: ISO-bestanden bevatten een Windows-snelkoppeling vermomd als PDF, een PowerShell-script en een afbeelding die kwaadaardige code verbergt via steganografie. De geëxtraheerde code gebruikt DLL sideloading via een legitiem SumatraPDF-uitvoerbaar bestand, voert uitgebreide sandbox- en VM-detectie uit en implementeert vervolgens BlackSanta.

BlackSanta schakelt systematisch endpointdetectie uit door:

  • Microsoft Defender-uitzonderingen toe te voegen voor .dls- en .sys-bestanden
  • Telemetrie en automatische monsterindiening naar de Microsoft-cloud te verminderen
  • Windows-meldingen te onderdrukken om de gebruiker niet te alarmeren
  • Process hollowing te gebruiken om payloads uit te voeren binnen legitieme processen

Vereiste acties: HR-teams waarschuwen over cv-gerelateerde phishingaanvallen. ISO-bijlagen blokkeren bij de e-mailgateway. Monitoren op ongeautoriseerde wijzigingen in Defender-uitzonderingen. Applicatie-allowlisting implementeren.


5. HPE kritieke AOS-CX-authenticatiebypass

🚨 KRITIEK — Admin-wachtwoordreset zonder authenticatie

HPE heeft CVE-2026-23813 gepatcht, een kritieke authenticatiebypass in het Aruba Networking AOS-CX-besturingssysteem waarmee niet-geauthenticeerde externe aanvallers beheerderswachtwoorden kunnen resetten op CX-serie campus- en datacenter-switches.

De kwetsbaarheid bevindt zich in de webgebaseerde beheerinterface en vereist slechts aanvallen met lage complexiteit om te exploiteren. Elke organisatie die HPE AOS-CX-switches met blootgestelde beheerinterfaces draait, loopt onmiddellijk risico.

Mitigaties bij vertraagd patchen:

  • Beheerinterfaces isoleren naar een dedicated VLAN
  • Strikte laag 3+-toegangscontroles voor beheerverkeer implementeren
  • HTTP(S)-interfaces op SVI's en gerouteerde poorten uitschakelen waar niet nodig
  • Control Plane ACL's afdwingen op REST/HTTP-beheereindpunten

6. APT28 zet BEARDSHELL & COVENANT in tegen Oekraïens leger

Ruslands APT28 (Fancy Bear / GRU-eenheid 26165) zet zijn cyberspionagecampagne tegen Oekraïne voort en implementeert twee implantaten — BEARDSHELL en COVENANT — voor langetermijnsurveillance van Oekraïens militair personeel sinds april 2024.

ESET meldt dat het arsenaal ook SLIMAGENT omvat, dat keylogging, schermopname en klembordgegevensverzameling kan uitvoeren. De campagne onderstreept de voortdurende cyberdimensie van het Russisch-Oekraïense conflict en de persistente targeting van militaire communicatie.


7. Zombie ZIP-techniek omzeilt beveiligingstools

Een nieuwe techniek genaamd "Zombie ZIP" stelt aanvallers in staat kwaadaardige payloads te verbergen in speciaal gemaakte gecomprimeerde bestanden die antivirus- en EDR-detectie omzeilen. De techniek maakt gebruik van verschillen in hoe beveiligingstools en legitieme archiefsoftware ZIP-bestanden parsen, waardoor blinde vlekken ontstaan waar malware doorheen kan glippen.

Vereiste acties: Ervoor zorgen dat beveiligingstools geneste en misvormde archiefformaten kunnen inspecteren. Overweeg alle gecomprimeerde bijlagen te sandboxen voor levering aan eindgebruikers.


8. CISA: Ivanti EPM-kwetsbaarheid wordt actief uitgebuit

CISA heeft een recent gepatchte kwetsbaarheid in Ivanti Endpoint Manager (EPM) toegevoegd aan haar catalogus van bekende uitgebuite kwetsbaarheden (KEV) na bevestiging van actieve uitbuiting in het wild. Organisaties die Ivanti EPM draaien moeten patchen onmiddellijk prioriteren.

Het patroon van Ivanti-kwetsbaarheden die snel bewapend worden zet zich voort — dit is de laatste in een lange reeks kritieke Ivanti-kwetsbaarheden die binnen dagen van openbaarmaking naar uitbuiting gaan.


9. BeatBanker Android-malware doet zich voor als Starlink-app

Een nieuwe Android-bankingtrojaan genaamd BeatBanker wordt verspreid via nep Google Play Store-websites en doet zich voor als een Starlink-applicatie. Eenmaal geïnstalleerd kaapt de malware apparaten om bankinloggegevens en financiële transacties te onderscheppen.

Vereiste acties: Alleen apps installeren vanuit de officiële Google Play Store. Google Play Protect inschakelen. Gebruikers voorlichten over nepappstores.


10. Microsoft Entra Passkey-ondersteuning voor Windows

Positief nieuws: Microsoft rolt passkey-ondersteuning voor Microsoft Entra uit op Windows-apparaten, waarmee phishing-resistente wachtwoordloze authenticatie via Windows Hello mogelijk wordt. Dit is een belangrijke stap richting het elimineren van wachtwoordgebaseerde aanvallen — organisaties moeten beginnen met het plannen van Entra passkey-implementatie.


Meer koppen

VerhaalImpact
Noord-Koreaanse UNC4899 compromitteert cryptobedrijfGetrojaniseerd AirDrop-bestand + living-off-the-cloud-technieken stelen miljoenen in cryptovaluta
Windows 10 KB5078885 ESU uitgebrachtUitgebreide beveiligingsupdate voor Windows 10 pakt maart Patch Tuesday-kwetsbaarheden aan inclusief 2 zero-days
Kwaadaardig npm-pakket imiteert OpenClawPakket installeert RAT en steelt macOS-inloggegevens, SSH-sleutels, crypto-wallets en iMessage-geschiedenis

Hoe KENSAI u beschermt

Edge-apparaatmonitoring — Detecteer gecompromitteerde FortiGate-, ASUS- en HPE-apparaten voordat aanvallers dieper pivoteren

Patch-intelligence — Geprioriteerde CVE-tracking voor Microsoft, Ivanti en netwerkinfrastructuur binnen uren na openbaarmaking

EDR-integriteitscontroles — Identificeer BlackSanta-achtige manipulatie van endpoint-beveiligingsconfiguraties

AI-beveiligingshouding — Monitor Copilot- en AI-agentmachtigingen om gegevensexfiltratievectoren zoals CVE-2026-26144 te voorkomen


Aanbevolen acties

  1. Onmiddellijk: FortiGate patchen naar nieuwste firmware. Microsoft maart 2026-patches implementeren. HPE AOS-CX-switches bijwerken.
  2. Vandaag: ASUS-routers controleren op KadNap-indicatoren. Alle aan FortiGate gekoppelde serviceaccount-inloggegevens roteren. Copilot Agent netwerk-egress-instellingen herzien.
  3. Deze week: ISO-bijlagen blokkeren bij e-mailgateways. Ivanti EPM-implementaties auditen. Entra passkey-uitrol plannen.
  4. Doorlopend: Monitoren op EDR-manipulatiepatronen. HR-teams briefen over cv-phishing. Zero-trust implementeren voor netwerkapparaatbeheer.

Bescherm uw organisatie met KENSAI

AI-aangedreven kwetsbaarheidsscanning en continue beveiligingsmonitoring. Start vandaag uw gratis scan.

Gratis scan starten →

Blijf veilig. Blijf waakzaam.

🗡️ KENSAI Beveiligingsteam

🛡️ Is uw website veilig?

Ontdek kwetsbaarheden voordat aanvallers dat doen.

Scan uw website gratis →

All posts · Permalink