← Terug naar blog
Security Briefing4 min leestijd2026-04-26

Security Briefing, 26 april 2026: via Teams geleverde Snow-malware, ADT’s ShinyHunters-datalek en LMDeploys exploitvenster van 13 uur

Het patroon van vandaag is hard: aanvallers misbruiken vertrouwde chat, vertrouwde SaaS-identiteit en vertrouwde AI-infrastructuur sneller dan veel teams kunnen patchen of verifiëren.


Kort gezegd: Drie verhalen verdienen vanochtend directe aandacht: een social-engineeringketen via Microsoft Teams die in domeincompromis kan eindigen, een echte vishing-naar-SaaS-breuk bij ADT en een SSRF-fout in AI-serving die in minder dan een halve dag werd getest.


1. UNC6692 verandert helpdeskvertrouwen in Microsoft Teams in een volledige Snow-malwareketen

Volgens Google Mandiant gebruikt UNC6692 e-mailbombardementen en imitatie in Microsoft Teams om medewerkers een nep anti-spam-patch te laten installeren. Het slachtoffer start in werkelijkheid de Snow-toolset: de browserextensie SnowBelt, de tunneler SnowGlaze en de Python-backdoor SnowBasin. Daarna dumpen de operators LSASS, bewegen ze lateraal, bereiken ze domeincontrollers en exfiltreren ze Active Directory-materiaal. Dit is niet gewoon nog een phishingmail; het is een chat-native inbraakpad dat eruitziet als interne support.


2. ADT bevestigt een datalek nadat ShinyHunters naar verluidt een Okta-gekoppeld werknemersaccount vishte

ADT zegt dat aanvallers gegevens van klanten en prospects hebben gestolen, waaronder namen, telefoonnummers, adressen en in een kleiner aantal gevallen geboortedata en de laatste vier cijfers van SSN’s of fiscale ID’s. ShinyHunters vertelde BleepingComputer dat de aanval begon met een vishing-aanval op een Okta-SSO-account van een medewerker en daarna uitbreidde naar Salesforce. Of elke claim van de aanvaller klopt of niet, de operationele les is duidelijk: zodra een vertrouwde SaaS-identiteit valt, wordt het hele gekoppelde bedrijfsplatform de blast radius.


3. LMDeploy laat zien dat het AI-exploitvenster tot uren instort

De LMDeploy-SSRF-fout, CVE-2026-33626, zou binnen 12 uur en 31 minuten na disclosure zijn uitgebuit. Aanvallers gebruikten de vision-language image loader om AWS-metadata, Redis, MySQL, lokale admin-oppervlakken en een externe callback-endpoint te verkennen. Dat doet ertoe omdat LMDeploy precies het soort LLM-servingcomponent is dat teams snel uitrollen en licht reviewen. Wanneer een advisory de root cause en het getroffen codepad weggeeft, wachten aanvallers niet op je volgende sprint.


Wat securityteams vandaag moeten doen

  1. Vergrendel Teams-gebaseerde supportworkflows en verifieer recente remote-assistance-events opnieuw.
  2. Voer een SaaS-identiteitsincidentreview uit als je omgeving op Okta, Salesforce of vergelijkbare high-trust-connectors leunt.
  3. Inventariseer blootgestelde of bereikbare AI-servingcomponenten en patch LMDeploy vóór de volgende scan-golf.
  4. Gebruik deze ochtend om vertrouwensgaten te sluiten, niet alleen tickets.

Bronnen


Bottom line: Het patroon van vandaag is hard: aanvallers misbruiken vertrouwde chat, vertrouwde SaaS-identiteit en vertrouwde AI-infrastructuur sneller dan veel teams kunnen patchen of verifiëren.

Vind de vertrouwensbreuken voordat ze incidenten worden

KENSAI helpt teams blootgestelde aanvalspaden zichtbaar te maken over identiteitsworkflows, SaaS-platforms, collaboration-tools en AI-infrastructuur voordat aanvallers normaal zakelijk vertrouwen omzetten in inbraaktoegang.

Gratis scan →

Blijf scherp.

🗡️ KENSAI Security Team