🛡️ Dagelijks Beveiligingsintelligentie Bulletin
⚡ Samenvatting — Wat vandaag belangrijk is
- Microsoft Patch Tuesday: 79-83 kwetsbaarheden gepatcht waaronder 2 zero-days — patch onmiddellijk
- FortiGate-campagne: Dreigingsactoren misbruiken FortiGate NGFW's om AD/LDAP-inloggegevens te stelen uit de gezondheidszorg en overheid
- KadNap-botnet: Meer dan 14.000 ASUS-routers gecompromitteerd tot een stealth proxy-netwerk met aangepast Kademlia DHT
- APT28 (Fancy Bear): Nieuwe BEARDSHELL- en COVENANT-implantaten voor langdurige surveillance van het Oekraïense leger
- Ivanti EPM actief uitgebuit: CISA voegt het toe aan KEV samen met SolarWinds- en Workspace One-kwetsbaarheden
- Salesforce Experience Cloud: Massa-scanningcampagne gericht op verkeerd geconfigureerde gastgebruikersrechten
- Ericsson-datalek: Duizenden getroffen door compromittering van externe leverancier
🔴 Kritieke kwetsbaarheden & Patch Tuesday
Microsoft Patch Tuesday maart 2026 — 2 Zero-Days, 79 kwetsbaarheden
Microsoft heeft fixes uitgebracht voor 79 kwetsbaarheden waaronder 2 publiek bekendgemaakte zero-day-kwetsbaarheden. De update lost ook een probleem op dat sommige apparaten verhinderde om af te sluiten. Windows 10 Extended Security Update KB5078885 en Windows 11 KB5079473/KB5078883 cumulatieve updates zijn nu beschikbaar.
Zero-Day Nu patchen Windows 10/11Adobe patcht 80 kwetsbaarheden in 8 producten
Adobe heeft patches uitgerold voor 80 kwetsbaarheden in Commerce, Illustrator, Acrobat Reader, Premiere Pro en 4 andere producten. Meerdere kritieke kwetsbaarheden voor code-uitvoering inbegrepen.
Hoog Acrobat CommerceSAP patcht kritieke FS-QUO- en NetWeaver-kwetsbaarheden
Een code-injectiebug in FS-QUO en een onveilig deserialisatielek in NetWeaver kunnen willekeurige code-uitvoering mogelijk maken op zakelijke SAP-systemen. Patchprioriteit: kritiek.
Kritiek RCE ZakelijkHPE kritiek AOS-CX-lek — Admin-wachtwoord reset
Hewlett Packard Enterprise heeft meerdere kwetsbaarheden in het Aruba Networking AOS-CX besturingssysteem gepatcht, waaronder authenticatiebypass-kwetsbaarheden die admin-wachtwoord resets mogelijk maken en problemen met code-uitvoering.
Kritiek Auth-bypass NetwerkinfrastructuurCISA markeert Ivanti EPM, SolarWinds & Workspace One als actief uitgebuit
Drie kwetsbaarheden toegevoegd aan CISA's catalogus van bekende uitgebuite kwetsbaarheden: Ivanti Endpoint Manager authenticatiebypass met hoge ernst, SolarWinds-kwetsbaarheid en CVE-2021-22054 (SSRF in VMware/Omnissa Workspace One UEM, CVSS 7.5). Alle bevestigd als uitgebuit in het wild.
Actief uitgebuit KEV Ivanti«LeakyLooker» — 9 cross-tenant-kwetsbaarheden in Google Looker Studio
Tenable heeft 9 cross-tenant-kwetsbaarheden in Google Looker Studio onthuld die aanvallers in staat hadden kunnen stellen willekeurige SQL-query's uit te voeren op databases van slachtoffers en gevoelige gegevens te exfiltreren binnen Google Cloud-omgevingen. Geen bewijs van exploitatie in het wild.
Hoog Cloud Cross-Tenant🟠 Actieve dreigingen & campagnes
FortiGate NGFW-campagne — Diefstal van inloggegevens uit gezondheidszorg & overheid
Dreigingsactoren misbruiken FortiGate Next-Generation Firewalls als toegangspunten om netwerken te compromitteren. De campagne extraheert configuratiebestanden met AD/LDAP-serviceaccount-inloggegevens en netwerktopologie. Doelwitten zijn gezondheidszorg, overheid en managed service providers.
Kritiek Gezondheidszorg Overheid Diefstal inloggegevensRussische APT28 zet BEARDSHELL + COVENANT in tegen Oekraïens leger
Het aan de GRU gelieerde APT28 is waargenomen bij het gebruik van nieuwe implantaten BEARDSHELL en COVENANT voor langdurige surveillance van Oekraïens militair personeel sinds april 2024. Zet ook SLIMAGENT in (keylogger, schermopname, klembord-diefstal). De campagne toont de voortdurende escalatie van Russische cyberspionage-operaties.
Natiestaat Spionage RuslandKadNap-botnet — Meer dan 14.000 ASUS-routers gecompromitteerd
Nieuwe malware KadNap richt zich op ASUS-routers en edge-apparaten en bouwt een botnet van meer dan 14.000 nodes voor het proxyen van kwaadaardig verkeer. Gebruikt een aangepast Kademlia DHT-protocol om C2-infrastructuur te verbergen. Meer dan 60% van de slachtoffers bevindt zich in de VS, met wereldwijde verspreiding in Taiwan, Hongkong, VK, Australië, Brazilië, Frankrijk, Italië en Spanje. Actief sinds augustus 2025.
Hoog Botnet IoT 14K apparatenMassa-scanningcampagne op Salesforce Experience Cloud
Dreigingsactoren scannen massaal Salesforce Experience Cloud-sites met een aangepaste AuraInspector-tool. Ze misbruiken te ruime gastgebruikersconfiguraties om toegang te krijgen tot gevoelige gegevens. Honderden klanten zouden getroffen zijn.
Hoog SaaS Verkeerde configuratieNoord-Koreaanse actoren compromitteren cryptobedrijf via getrojaniseerd AirDrop-bestand
UNC4899 (Jade Sleet / TraderTraitor) compromitteerde een cryptocurrency-organisatie via social engineering + getrojaniseerde AirDrop-bestandsoverdracht. Pivoteerden naar de cloud met Living-off-the-Cloud (LOTC)-technieken, misbruik van DevOps-workflows om inloggegevens te oogsten, uit containers te breken en Cloud SQL-databases te manipuleren voor cryptodiefstal.
APT Crypto Supply Chain🟡 Nieuwe malware & ontwijkingstechnieken
«BlackSanta» EDR-killer richt zich op HR-afdelingen
Een Russischtalige dreigingsactor richt zich al meer dan een jaar op HR-afdelingen met malware die BlackSanta levert, een nieuwe EDR-killer (Endpoint Detection & Response). De campagne maakt gebruik van social engineering afgestemd op HR-workflows.
Hoog EDR-bypass HR-doelwit«BeatBanker» Android-malware doet zich voor als Starlink-app
Nieuwe Android-malware BeatBanker vermomt zich als een Starlink-app op nep Google Play Store-websites. In staat tot volledige apparaatovername na installatie.
Gemiddeld Android Banking-trojan«Zombie ZIP» — Nieuwe techniek omzeilt beveiligingsscanners
Een nieuwe ontwijkingstechniek genaamd «Zombie ZIP» verbergt kwaadaardige payloads in speciaal vervaardigde gecomprimeerde bestanden om antivirus- en EDR-detectie te omzeilen. Maakt misbruik van inconsistenties in hoe beveiligingstools ZIP-archieven verwerken.
Ontwijking Nieuwe techniekGeometrie-gebaseerde sandbox-ontwijking — «De nieuwe Turingtest»
Het Picus Red Report 2026 onthult dat 80% van de belangrijkste aanvalstechnieken zich nu richt op ontwijking en persistentie. Malware maakt steeds meer gebruik van geometrie-gebaseerde cursorbewegingstesten en CPU-timingtests om sandbox-omgevingen te detecteren en «menselijkheid» te bewijzen voordat payloads worden uitgevoerd.
Onderzoek Sandbox-ontwijkingKwaadaardig npm-pakket «GhostClaw» richt zich op macOS-ontwikkelaars
Een kwaadaardig npm-pakket (@openclaw-ai/openclawai) dat een RAT implementeert die inloggegevens, browsergegevens, crypto-wallets, SSH-sleutels, Apple Keychain en iMessage-geschiedenis steelt. Bevat persistente C2, SOCKS5-proxy en live browsersessie-kloning. 178 downloads sinds 3 maart.
🔵 Datalekken
Ericsson-datalek — Duizenden getroffen
Telecombedrijf Ericsson bevestigde een datalek dat duizenden personen treft. Het bedrijf gaf de schuld aan een compromittering van een externe leverancier. De omvang van de blootgestelde gegevens is nog niet volledig bekendgemaakt.
Telecom Risico derden🟢 Releases van beveiligingstools & sectorfinanciering
Kevin Mandia's Armadin lanceert met $190M financiering
Voormalig Mandiant-CEO Kevin Mandia lanceert Armadin, een AI-aangedreven red teaming-platform dat autonoom zwakheden vindt en uitbuit. Ondersteund door $190M aan financiering. Belangrijke nieuwe concurrent in geautomatiseerde offensieve beveiliging.
Startup $190M Red TeamingKai — $125M voor AI-platform dat IT- en OT-beveiliging verbindt
Opgericht door een mede-oprichter van Claroty, komt Kai uit stealth met $125M aan financiering van Evolution Equity Partners en N47. Focus: AI-aangedreven convergentie van IT- en OT-beveiliging (operationele technologie).
Startup $125M IT/OTJazz — $61M voor AI-aangedreven Data Loss Prevention
Jazz komt uit stealth met $61M aan financiering voor AI-aangedreven DLP (Data Loss Prevention). Belooft zichtbaarheid in intentie, context en risico voorbij traditionele DLP-tools.
Startup $61M DLPEscape haalt $18M op om pentesting te automatiseren
Escape haalt $18M op om AI-agentcapaciteiten voor geautomatiseerd penetratietesten te verdiepen en engineering- en go-to-market-teams op te schalen.
Startup $18M PentestingOpenAI lanceert Codex Security kwetsbaarhedenscanner
OpenAI lanceert Codex Security (voorheen Aardvark), een AI-aangedreven kwetsbaarhedenscanner die afgelopen maand honderden kritieke kwetsbaarheden heeft gevonden in geteste software.
AI-beveiliging KwetsbaarhedenscannerMicrosoft Entra Passkeys — Phishing-bestendige Windows-aanmelding
Microsoft rolt passkey-ondersteuning voor Entra op Windows uit, waardoor phishing-bestendige wachtwoordloze authenticatie via Windows Hello mogelijk wordt. Belangrijke stap naar het elimineren van wachtwoord-gebaseerde aanvallen.
Identiteit Passkeys Phishing-verdediging📊 Opkomende dreigingspatronen
Belangrijkste trends waargenomen in deze cyclus
Analyse van de afgelopen 24 uur onthult verschillende convergerende patronen:
1. Exploitatie van edge-apparaten op grote schaal — KadNap (14K routers), FortiGate-campagne en Ivanti EPM-exploitatie richten zich allemaal op netwerk-edge-infrastructuur. Aanvallers geven steeds meer de voorkeur aan het compromitteren van apparaten die bedoeld zijn om netwerken te beschermen.
2. EDR/Sandbox-wapenwedloop — BlackSanta EDR-killer, Zombie ZIP-archiefontwijking en geometrie-gebaseerde sandbox-detectie tonen massale investeringen van aanvallers in het omzeilen van endpointbeveiliging.
3. Voortdurende supply chain-vergiftiging — Kwaadaardige npm-pakketten (GhostClaw), getrojaniseerde AirDrop-bestanden (UNC4899) en aangepaste open-source tools (AuraInspector) demonstreren aanhoudende supply chain-aanvalsvectoren.
4. Massieve leveranciers-patchcyclus — Microsoft (79), Adobe (80), SAP (kritiek), HPE (kritiek) = 162+ kwetsbaarheden op één dag. Patchbeheer blijft de operationele last #1 voor beveiligingsteams.
5. Investeringsgolf in AI-beveiliging — $376M aan nieuwe financiering voor 4 startups (Armadin, Kai, Jazz, Escape) plus OpenAI's intrede in kwetsbaarheden-scanning. De AI-beveiligingsmarkt versnelt snel.