剣 KENSAI
← Back to archive

Dagelijks Dreigingsoverzicht

2026-03-17 · Dinsdag · 04:00 CET
Geautomatiseerde 24-uurs analyse van het beveiligingslandschap
4
Datalekken
3
Kritieke CVE's
2
APT-campagnes
3
Nieuwe Tools

⚡ TL;DR — Wat vandaag belangrijk is

  • Stryker wiper-aanval: Iran-gelieerd Handala gebruikte Intune remote wipe op ~80K apparaten — geen malware nodig, alleen een gestolen Global Admin-account
  • GlassWorm supply-chain-escalatie: Gestolen GitHub-tokens gebruikt om malware te force-pushen naar honderden Python-repo's (Django, ML, PyPI-pakketten)
  • Chrome 0-days gepatcht: CVE-2026-3909 (Skia) en CVE-2026-3910 (V8) actief misbruikt in het wild — werk onmiddellijk bij
  • Oracle EBS-lek: Slechts 4 grote bedrijven (Broadcom, Bechtel, Estée Lauder, Abbott) hebben zich nog niet uitgesproken over de impact
  • DRILLAPP-backdoor: Russisch-gelieerde actoren richten zich op Oekraïne via Edge browser-debugging — toegang tot microfoon & webcam
  • Betterleaks gelanceerd: Nieuwe open-source secrets-scanner van de maker van Gitleaks — sneller, slimmer, MIT-licentie

🔓 Datalekken & Incidenten

Stryker: Iran-gelieerde wiper-aanval treft ~80.000 apparaten

📅 16 mrt 🏢 Stryker (MedTech) 🌍 Wereldwijd

De hacktivistengroep Handala (Iran-gelieerd) heeft een Stryker-beheerdersaccount gecompromitteerd, een nieuwe Global Administrator aangemaakt in Microsoft Entra ID en het Intune remote wipe-commando gebruikt om ~80.000 apparaten te wissen tussen 5:00 en 8:00 UTC op 11 maart. Er werd geen malware ingezet — de aanvallers bewapenden legitieme MDM-functionaliteit. Sommige medewerkers verloren persoonlijke gegevens van BYOD-apparaten die in het bedrijfsnetwerk waren ingeschreven. Elektronische bestelsystemen zijn nog offline; medische apparatuur is bevestigd veilig. Microsoft DART en Palo Alto Unit 42 onderzoeken het incident.

KENSAI Analyse: Deze aanval belicht een kritieke blinde vlek — MDM-platformen zoals Intune kunnen worden bewapend voor vernietiging zonder malware. NIS2 Artikel 21 vereist supply chain- en beheerderstoegangscontroles. Organisaties moeten phishing-bestendige MFA afdwingen op alle Global Admin-accounts en break-glass accountmonitoring implementeren.
Kritiek Wiper MDM-misbruik Iran

Oracle EBS-lek: 4 grote bedrijven nog steeds stil

📅 16 mrt 🏢 Broadcom, Bechtel, Estée Lauder, Abbott

Het Oracle E-Business Suite-datalek blijft zich ontvouwen waarbij Broadcom, Bechtel, Estée Lauder en Abbott Technologies de enige grote bedrijven zijn die nog geen publieke verklaring hebben afgegeven over de mogelijke impact. Details over de initiële aanvalsvector en omvang blijven onder embargo terwijl het onderzoek voortduurt.

Hoog ERP Datalek

Starbucks medewerkersgegevens gelekt via phishing

📅 16 mrt 🏢 Starbucks

Starbucks heeft een datalek bevestigd dat honderden medewerkers treft na phishing-aanvallen op een medewerkersportaal. Persoonlijke medewerkersinformatie is gecompromitteerd. Het incident onderstreept de aanhoudende risico's van credential-gebaseerde aanvallen op interne HR-systemen.

Hoog Phishing Medewerkersgegevens

Loblaw klantgegevens gelekt

📅 16 mrt 🏢 Loblaw Companies 🌍 Canada

De Canadese retailgigant Loblaw heeft bekendgemaakt dat hackers toegang hebben verkregen tot klant-PII, waaronder namen, e-mailadressen en telefoonnummers. De omvang van het lek en de aanvalsvector zijn nog niet volledig bekendgemaakt.

Gemiddeld Retail PII

UK Companies House beveiligingslek legt bedrijfsgegevens bloot sinds oktober 2025

📅 16 mrt 🏢 UK Companies House 🌍 Verenigd Koninkrijk

De WebFiling-dienst van de Britse overheidsinstantie werd vrijdag offline gehaald na de ontdekking van een beveiligingslek dat bedrijfsinformatie had blootgesteld sinds oktober 2025 — bijna 5 maanden onopgemerkte blootstelling. De dienst is inmiddels weer online met de fix toegepast.

Hoog Overheid Gegevensblootstelling

🛡️ Kritieke Kwetsbaarheden

Chrome 0-Days: CVE-2026-3909 & CVE-2026-3910 (Actief misbruikt)

📅 16 mrt ⚠️ CVSS: Hoog 🔴 Misbruikt in het wild

CVE-2026-3909: Out-of-bounds write in Skia 2D grafische bibliotheek. CVE-2026-3910: Onjuiste implementatie in V8 JavaScript/WebAssembly-engine die leidt tot OOB-toegang. Beide worden actief misbruikt. Google heeft patches uitgebracht — werk Chrome onmiddellijk bij.

KENSAI Analyse: Browserkwetsbaarheden blijven de #1 client-side aanvalsvector. KENSAI's DAST-scanning kan verifiëren of organisaties browserupdatebeleid afdwingen via header-analyse en versiedetectie.
Kritiek 0-Day Chrome In-the-Wild

Wing FTP Server — CISA waarschuwt voor actief misbruik

📅 16 mrt ⚠️ KEV-lijst 🔴 Misbruikt in het wild

CISA heeft een Wing FTP Server-kwetsbaarheid toegevoegd aan de Known Exploited Vulnerabilities-catalogus en waarschuwt dat deze actief wordt gecombineerd met andere kwetsbaarheden voor remote code execution. Federale instanties moeten patchen conform BOD 22-01-deadlines.

Kritiek RCE CISA KEV

HPE AOS-CX: Ongeauthenticeerde beheerderwachtwoord-reset

📅 16 mrt ⚠️ CVSS: Kritiek

Een kritieke kwetsbaarheid in HPE Aruba AOS-CX netwerkswitches stelt externe, ongeauthenticeerde aanvallers in staat om beheerderswachtwoorden te resetten, waardoor bestaande authenticatiecontroles volledig worden omzeild. Patch onmiddellijk — dit treft kernnetwerkinfrastructuur.

Kritiek Netwerkinfrastructuur Auth Bypass

n8n Workflow Automation-kwetsbaarheid misbruikt

📅 16 mrt 🔴 Misbruikt in het wild

Een kwetsbaarheid in het populaire n8n workflow-automatiseringsplatform wordt actief misbruikt. Details kwamen naar boven in SecurityWeek's wekelijkse overzicht. Organisaties met zelf-gehoste n8n-instanties moeten onmiddellijk controleren op updates en toegangscontroles herzien.

Hoog Automatisering Misbruikt

🐛 Supply Chain & Malware

GlassWorm ForceMemo: Gestolen GitHub-tokens → Malware in Python-repo's

📅 17 mrt ⚠️ Actieve campagne 🌍 Wereldwijd

De GlassWorm-campagne is dramatisch geëscaleerd. Aanvallers gebruiken GitHub-tokens die bij de eerdere VS Code-extensie-aanval zijn gestolen om geobfusceerde malware te injecteren in honderden Python-repositories — Django-apps, ML-onderzoekscode, Streamlit-dashboards en PyPI-pakketten. De techniek (genaamd "ForceMemo") rebaset kwaadaardige commits op legitieme commits, waarbij originele auteursinformatie en commit-berichten behouden blijven om detectie te ontwijken. Iedereen die pip install uitvoert vanuit een gecompromitteerde repo activeert de malware. Injecties gaan terug tot 8 maart.

KENSAI Analyse: Dit is een schoolvoorbeeld van een supply chain-aanval — precies het type dreiging waarvoor NIS2 Artikel 21(2)(d) is geschreven. Organisaties moeten hun Python-afhankelijkheden auditen, commit-handtekeningen verifiëren en scannen op indicators of compromise. KENSAI's SBOM- en afhankelijkheidsanalyse kan gecompromitteerde pakketten signaleren.
Kritiek Supply Chain Python GitHub

ClickFix-campagnes verspreiden MacSync macOS-infostealer

📅 16 mrt 🍎 macOS

Drie afzonderlijke ClickFix-campagnes verspreiden de MacSync-infostealer via nep AI-tool-installatieprogramma's (waaronder een nep "OpenAI Atlas"-browser). De aanval is volledig afhankelijk van gebruikersinteractie — slachtoffers kopiëren en voeren geobfusceerde terminalcommando's uit. Verspreid via gesponsorde Google-zoekresultaten die leiden naar valse Google Sites-pagina's. Sophos-onderzoekers documenteerden de volledige aanvalsketen vanaf november 2025.

Hoog macOS Infostealer Social Engineering

Storm-2561: Valse VPN-clients stelen inloggegevens

📅 16 mrt ⚠️ Actieve campagne

Dreigingsactor Storm-2561 verspreidt getrojaniseerde VPN-clients via SEO-poisoning, zet trojans in en onderschept inloggegevens van nietsvermoedende gebruikers die zoeken naar legitieme VPN-software.

Hoog VPN SEO-poisoning Credential Theft

Slopoly-malware opgedoken

📅 16 mrt

Een nieuwe malwarefamilie genaamd "Slopoly" werd gesignaleerd in SecurityWeek's wekelijkse overzicht. Details zijn nog in ontwikkeling, maar het is vermeld naast andere opmerkelijke dreigingen van de week.

Gemiddeld Nieuw Malware

🎯 APT & Statelijke Activiteit

DRILLAPP: Russisch-gelieerde backdoor richt zich op Oekraïne via Edge-debugging

📅 16 mrt 🏴 Laundry Bear / UAC-0190 🎯 Oekraïne

Een nieuwe JavaScript-gebaseerde backdoor genaamd DRILLAPP misbruikt Microsoft Edge's remote debugging-functie voor heimelijke spionage tegen Oekraïense entiteiten. De malware kan bestanden uploaden/downloaden, de microfoon benaderen en webcambeelden vastleggen — allemaal via de native browserfunctionaliteit. Verspreid via juridisch en liefdadigheidsthematische lokdocumenten met LNK-bestanden. Toegeschreven aan Laundry Bear (Void Blizzard), een Russisch-gelieerde dreigingsgroep. Campagne waargenomen sinds februari 2026.

Kritiek APT Rusland Spionage

CL-STA-1087: China richt zich op Zuidoost-Aziatische legers

📅 13 mrt 🏴 CL-STA-1087 🎯 ZO-Azië Militair

Palo Alto Unit 42 onthulde een geduldige China-gelieerde spionageoperatie (actief sinds 2020) gericht op Zuidoost-Aziatische militaire organisaties met aangepaste AppleChris- en MemFun-malware. De aanvallers toonden "strategisch operationeel geduld" en richtten zich op zeer specifieke documenten over militaire capaciteiten in plaats van massale gegevensdiefstal.

Hoog APT China Militair

Iran-gelieerde hackers breiden doelen uit naar Amerikaanse infrastructuur

📅 16 mrt 🏴 Pro-Iran-groepen 🎯 VS, Midden-Oosten

Pro-Iraanse hackers breiden hun bereik uit van Midden-Oosterse doelen naar de Verenigde Staten, wat risico's verhoogt voor defensie-aannemers, energiecentrales en waterzuiveringsinstallaties tijdens de aanhoudende regionale conflicten.

Hoog Iran Kritieke infrastructuur ICS/OT

Pools nucleair onderzoekscentrum: hackpoging (mogelijk Iran)

📅 16 mrt 🎯 Polen

Een hackpoging is gemeld bij het Poolse nucleaire onderzoekscentrum. Eerste aanwijzingen wijzen naar Iran, hoewel functionarissen erkenden dat het een false flag-operatie kan zijn. Het onderzoek loopt nog.

Hoog Nucleair Kritieke infrastructuur

🔧 Beveiligingstools & Releases

Betterleaks: Open-source secrets-scanner (Gitleaks-opvolger)

📅 15 mrt 📦 MIT-licentie 🔗 GitHub

Gemaakt door Zach Rice (oorspronkelijke Gitleaks-auteur, nu Head of Secrets Scanning bij Aikido Security), Betterleaks is een volledige herschrijving met grote verbeteringen: CEL-gebaseerde regelvalidatie, BPE-tokenisatie voor 98,6% recall (vs 70,4% met entropie), pure Go-implementatie, automatische afhandeling van meervoudig gecodeerde secrets, geparallelliseerde Git-scanning en een uitgebreid provideregelset. Aankomende functies zijn onder meer LLM-ondersteunde classificatie en automatische secret-intrekking.

Nieuwe release Secrets Scanning Open Source

Bold Security: $40M stealth-lancering — AI-aangedreven apparaatagenten

📅 16 mrt 💰 $40M financiering

Bold Security kwam uit stealth-modus met $40M aan financiering. Hun aanpak: apparaten omvormen tot actieve AI-agenten die gebruikersacties begrijpen en realtime bescherming bieden. De moeite waard om te volgen als potentiële concurrent/partner in de AI-beveiligingsruimte.

Nieuw AI Security Startup

Android 17: Accessibility API-vergrendeling tegen malware

📅 16 mrt 📱 Android

Google test een beveiligingsfunctie in Android 17 Beta 2 die niet-toegankelijkheidsapps blokkeert van het gebruik van de Accessibility Services API onder de Geavanceerde Beschermingsmodus. Dit richt zich rechtstreeks op een primaire aanvalsvector voor Android-bankingtrojans en spyware.

Nieuw Android Mobiele beveiliging

📊 Opkomende Patronen

Belangrijke trends deze week

Verschillende convergerende patronen om in de gaten te houden:

1. MDM als wapen: De Stryker-aanval bewijst dat legitieme beheertools (Intune, SCCM, Jamf) nu eersteklas aanvalsoppervlakken zijn. Geen malware nodig — alleen beheerdersgegevens en een wis-commando. Verwacht navolgers.

2. Supply chain-cascade (GlassWorm → ForceMemo): Eén enkele supply chain-compromittering (VS Code-extensies) cascadeert nu in een tweederangs aanval op Python-repo's. Dit kettingreactiepatroon — waarbij gestolen inloggegevens van de ene aanval de volgende voeden — versnelt.

3. ClickFix gaat cross-platform: De ClickFix social engineering-techniek (gebruikers misleiden om terminalcommando's uit te voeren) is nu overgestoken van Windows naar macOS, verspreid via nep AI-tool-installatieprogramma's. AI-hype is het nieuwe phishing-lokmiddel.

4. Browser als C2: Zowel DRILLAPP (Edge-debugging) als de Chrome 0-days tonen aan dat browsers het meest waardevolle aanvalsoppervlak blijven. De grens tussen "browsen" en "gecompromitteerd" wordt steeds dunner.

5. Iran-escalatie: Drie Iran-gerelateerde berichten in 24 uur — Stryker-wiper, aanvallen op Amerikaanse infrastructuur, Pools nucleair centrum. Geopolitieke spanningen vertalen zich rechtstreeks naar cyberoperaties.

KENSAI Analyse: Meerdere berichten deze week zijn rechtstreeks te koppelen aan NIS2-nalevingsvereisten: supply chain-beveiliging (Art. 21.2d), incidentafhandeling (Art. 21.2b), toegangscontrole (Art. 21.2i). Dit is het dreigingslandschap waarvoor KENSAI is gebouwd.

📌 Ook vermeldenswaard

Korte meldingen

Microsoft Exchange Online-storing — Aanhoudend probleem blokkeert toegang tot mailboxen/agenda's (16 mrt)
Google betaalde $17M aan bug bounties in 2025 — $3,7M voor Chrome alleen, $3,5M voor cloudbeveiliging
Shadow AI-governance — Nudge Security meldt groeiende ongecontroleerde adoptie van AI-tools binnen bedrijven
Leidinggevende beveiligingsbedrijf als doelwit — Geavanceerde phishing met DKIM-ondertekende e-mails, vertrouwde redirects en Cloudflare-beschermde phishingpagina's
Interpol cybercrime-operatie — Multinationale operatie gesignaleerd in wekelijkse overzichten
Telus Digital-datalek — Canadese telecomdochter getroffen
Linux AppArmor-kwetsbaarheden — Fouten die root-privilegeverhoging mogelijk maken