Dagelijks Dreigingsintelligentie
⛓️ Supply Chain-aanval — Trivy Scanner Gecompromitteerd
Trivy Vulnerability Scanner Voorzien van Backdoor — Verspreiding via Docker & GitHub
De hackergroep TeamPCP heeft de veelgebruikte open-source Trivy vulnerability scanner van Aqua Security gecompromitteerd. Kwaadaardige versies (0.69.4–0.69.6) werden naar Docker Hub gepusht met information-stealer malware. De aanval breidde zich uit voorbij Docker — TeamPCP kaapte de GitHub-organisatie van Aqua Security en manipuleerde tientallen repositories. De laatst bekende schone release is 0.69.3. Kwaadaardige images zijn verwijderd, maar de impact op ontwikkelomgevingen blijft aanzienlijk.
Dit is precies het type supply chain-compromittering dat KENSAI's SBOM-analyse en dependency scanning kan detecteren. Als uw CI/CD Trivy-images heeft opgehaald tijdens het gecompromitteerde tijdsvenster, is een onmiddellijke audit noodzakelijk. Organisaties die KENSAI's continue monitoring gebruiken, zouden gewaarschuwd zijn voor de onverwachte binaire wijzigingen.
Bronnen: BleepingComputer, The Hacker News, SecurityWeek — 23 Mrt
TeamPCP Zet Op Iran Gerichte Kubernetes Wiper In
Dezelfde TeamPCP-groep achter de Trivy-compromittering richt zich ook op Kubernetes-clusters met een destructieve wiper. Het kwaadaardige script detecteert of systemen zijn geconfigureerd voor Iraanse infrastructuur en wist alle machines als aan de voorwaarde wordt voldaan. Dit vertegenwoordigt een aanzienlijke escalatie van datadiefstal naar volledige destructieve capaciteit binnen gecontaineriseerde omgevingen.
Bron: BleepingComputer — 23 Mrt
🔴 Kritieke Kwetsbaarheden
CVE-2026-21992 — Oracle Identity Manager RCE (Noodpatch)
Oracle heeft een nood-out-of-band patch uitgebracht voor CVE-2026-21992, een kritieke kwetsbaarheid in Oracle Identity Manager. De fout maakt ongeauthenticeerde uitvoering van code op afstand mogelijk en is mogelijk al in het wild geëxploiteerd. Organisaties die Oracle Identity Manager gebruiken moeten de patch onmiddellijk toepassen — dit is pre-authenticatie RCE op een identiteitbeheersysteem, waardoor het uiterst waardevol is voor aanvallers.
Bron: SecurityWeek — 23 Mrt
CVE-2025-32975 (CVSS 10.0) — Quest KACE SMA Onder Actieve Aanval
Een kwetsbaarheid met maximale ernst in Quest KACE Systems Management Appliance wordt actief geëxploiteerd, met name gericht op de onderwijssector. Arctic Wolf observeerde exploitatieactiviteit vanaf de week van 9 maart op niet-gepatchte SMA-systemen die aan het internet zijn blootgesteld. Gezien de CVSS 10.0-score en bevestigde exploitatie vereist dit onmiddellijke patching.
Bron: The Hacker News, SecurityWeek — 23 Mrt
DarkSword iOS Exploitketen — Toegevoegd aan CISA KEV-catalogus
CISA heeft drie DarkSword-kwetsbaarheden (CVE-2025-31277, CVE-2025-43510, CVE-2025-43520) toegevoegd aan zijn Known Exploited Vulnerabilities-catalogus. DarkSword is een geavanceerde iOS-exploitkit die 6 kwetsbaarheden ketent voor sandbox escape, privilege-escalatie en RCE op iPhones (iOS 18.4–18.7). Gekoppeld aan de Turkse commerciële surveillanceleverancier PARS Defense (UNC6748) en de Russische spionagegroep UNC6353. Drie malwarefamilies ingezet: GhostBlade, GhostKnife, GhostSaber. Federale instanties hebben tot 3 april om te patchen.
Bron: BleepingComputer, CISA — 23 Mrt
QNAP Patcht Vier Pwn2Own-kwetsbaarheden
QNAP heeft vier kwetsbaarheden gepatcht die op Pwn2Own werden gedemonstreerd, waarmee informatielekken, code-uitvoering en onverwacht gedrag op NAS-apparaten mogelijk waren. Gezien QNAP's geschiedenis als ransomware-doelwit is snelle patching essentieel.
Bron: SecurityWeek — 23 Mrt
💾 Datalekken
Crunchyroll Onderzoekt Datalek — 6,8 Miljoen Gebruikers Gestolen Beweerd
Het populaire anime-streamingplatform Crunchyroll (eigendom van Sony) onderzoekt na claims van hackers dat persoonlijke gegevens van ongeveer 6,8 miljoen gebruikers zijn gestolen. Het datalek wordt actief onderzocht — de omvang en authenticiteit worden nog geverifieerd.
Bron: BleepingComputer — 23 Mrt
Mazda Onthult Datalek van Werknemers- en Partnergegevens
Mazda Motor Corporation bevestigde een beveiligingsincident dat in december 2025 voor het eerst werd gedetecteerd en waarbij gegevens van werknemers en zakelijke partners werden blootgesteld. De bekendmaking vond plaats in maart 2026, wat de aanhoudende kloof tussen detectie en publieke bekendmaking in de autosector benadrukt.
Bron: BleepingComputer — 23 Mrt
Dochteronderneming van Trio-Tech in Halfgeleidersector Getroffen door Ransomware
Chipservicebedrijf Trio-Tech International meldde dat een dochteronderneming in Singapore is getroffen door bestandsversleutelende ransomware. De supply chain van halfgeleiders blijft een doelwit, waarbij productie- en chipservicebedrijven te maken krijgen met toenemende ransomwaredruk.
Bron: SecurityWeek — 23 Mrt
🕵️ Staatsactiviteiten & APT
FBI/CISA: Russische Hackers Voeren Massale Phishing uit op Signal- en WhatsApp-gebruikers
De FBI en CISA hebben een gezamenlijke waarschuwing uitgegeven dat Russische Inlichtingendiensten grootschalige phishingcampagnes uitvoeren gericht op Signal- en WhatsApp-accounts van hoogwaardige personen — overheidsfunctionarissen, militair personeel, politieke figuren en journalisten. Wereldwijd zijn duizenden accounts gecompromitteerd. Eenmaal binnen bekijken aanvallers berichten, exfiltreren contacten en voeren verdere phishing uit vanuit vertrouwde identiteiten.
Bron: The Hacker News, FBI — 21–23 Mrt
FBI Waarschuwt voor Iraanse Handala-hackers die Telegram Gebruiken voor Malware
De FBI waarschuwde dat Iraanse hackers gelinkt aan het Ministerie van Inlichtingen en Veiligheid (MOIS) — bekend als Handala — Telegram gebruiken om malware te verspreiden. De VS hebben Handala's link met de Iraanse overheid bevestigd en meerdere domeinen in beslag genomen die werden gebruikt bij hun cyber-enabled psychologische operaties.
Bron: BleepingComputer, SecurityWeek — 23 Mrt
Noord-Koreaanse Hackers Misbruiken VS Code voor StoatWaffle-malware
De dreigingsactor Contagious Interview (WaterPlum) verspreidt StoatWaffle-malware via kwaadaardige VS Code-projecten. De aanval misbruikt de tasks.json auto-run functie van VS Code — een relatief nieuwe tactiek die sinds december 2025 wordt toegepast. Dit richt zich op ontwikkelaars die ogenschijnlijk legitieme VS Code-projecten openen, waarbij automatisch malware wordt uitgevoerd.
Bron: The Hacker News — 23 Mrt
🎣 Phishing & Social Engineering
Tycoon2FA PhaaS-platform Terug op Volle Sterkte na Politie-ingrijpen
Het Tycoon2FA-phishingplatform dat Europol op 4 maart verstoorde, is al teruggekeerd naar activiteitsniveaus van vóór de verstoring. Aanvalsvolumes en -tactieken blijven ongewijzigd, wat de veerkracht van cybercriminele infrastructuur tegen handhavingsacties aantoont. Het platform is gespecialiseerd in het omzeilen van tweefactorauthenticatie.
Bron: BleepingComputer, SecurityWeek — 23 Mrt
Microsoft: IRS Belastingseizoen-phishing Treft 29.000 Gebruikers
Microsoft waarschuwde voor grootschalige phishingcampagnes die de urgentie van het Amerikaanse belastingseizoen uitbuiten. Meer dan 29.000 gebruikers werden benaderd met valse IRS-teruggavemeldingen, salarisformulieren en aangifteherinneringen. De campagnes zetten Remote Monitoring & Management (RMM)-malware in en maken gebruik van PhaaS-platforms. Doelwitten zijn zowel particulieren als belastingprofessionals met toegang tot gevoelige financiële gegevens.
Bron: The Hacker News, Microsoft — 23 Mrt
📊 Opkomende Trends & Onderzoek
M-Trends 2026: Overdracht van Initiële Toegang Daalt naar 22 Seconden
Het M-Trends 2026-rapport van Mandiant, gebaseerd op meer dan 500.000 uur incidentrespons, onthult dat de tijd tussen compromittering door een initial access broker en overdracht aan ransomware-operators is gekrompen van uren naar slechts 22 seconden. Dit verkort het venster voor verdedigers om inbreuken te detecteren en erop te reageren vóór ransomware-implementatie drastisch.
Overdrachttijden van 22 seconden betekenen dat handmatige SOC-triage niet langer haalbaar is voor detectie van initiële toegang. Geautomatiseerde, continue scanning — zoals de aanpak van KENSAI — wordt de enige realistische verdediging. Organisaties zonder geautomatiseerde responscapaciteiten zijn in wezen weerloos tegen deze aanvalssnelheid.
Bron: SecurityWeek / Mandiant — 23 Mrt
Acht Aanvalsvectoren Ontdekt in AWS Bedrock
Het dreigingsonderzoeksteam van XM Cyber heeft acht gevalideerde aanvalsvectoren in het AWS Bedrock AI-platform in kaart gebracht: logmanipulatie, compromittering van de kennisbank, kaping van agenten, flowinjectie, degradatie van guardrails en promptvergiftiging. Naarmate AI-agenten toegang krijgen tot bedrijfsgegevens (Salesforce, Lambda, SharePoint), worden ze hoogwaardige aanvalsoppervlakken met machtigingen en bereikbaarheid naar kritieke assets.
Beveiliging van AI-infrastructuur is een opkomend frontgebied. Naarmate bedrijven AI-agenten verbinden met productiesystemen, breidt het aanvalsoppervlak zich drastisch uit. Dit sluit aan bij KENSAI's positionering in AI-beveiliging — het scannen en beveiligen van de infrastructuur die AI-systemen aandrijft.
Bron: The Hacker News / XM Cyber — 23 Mrt
Browsergebaseerde Aanvallen Omzeilen Traditionele Beveiligingscontroles
Een nieuw rapport van Push Security documenteert hoe browsergebaseerde aanvallen — AITM-phishing, ClickFix, kwaadaardige OAuth-apps en sessiekaping — de grootste inbreuken van vandaag veroorzaken en traditionele beveiligingscontroles omzeilen. De browser is in toenemende mate het primaire aanvalsoppervlak.
Bron: BleepingComputer / Push Security — 23 Mrt
💰 Industrie & Financiering
Cape Haalt $100M Op voor Cellulaire Beveiliging
Cape, een op privacy gerichte mobiele virtuele netwerkoperator (MVNO), haalde 100 miljoen dollar op voor bescherming tegen cellulaire beveiligingsdreigingen — voor consumenten, bedrijven en overheidsklanten.
Bron: SecurityWeek — 23 Mrt
Eclypsium Haalt $25M Op voor Device Supply Chain-beveiliging
Eclypsium heeft 25 miljoen dollar opgehaald om zijn platform voor device supply chain-beveiliging uit te breiden en kanaalpartnerschappen te laten groeien. Zeer actueel gezien de Trivy supply chain-aanval die het nieuws van vandaag domineert.
Bron: SecurityWeek — 23 Mrt
3 Mannen Aangeklaagd voor Smokkel van AI-hardware naar China
Drie mannen zijn aangeklaagd voor samenzwering om Amerikaanse exportcontroles te overtreden door grote hoeveelheden high-performance AI-servers die in de VS zijn geassembleerd om te leiden naar China. Dit weerspiegelt de aanhoudende geopolitieke spanning rondom toegang tot AI-hardware.
Bron: SecurityWeek — 23 Mrt
📋 Compliance & Regelgeving
VK Verscherpt Cybermeldingsplichten
Het Verenigd Koninkrijk verscherpt de verplichte meldingsplichten voor cyberincidenten. Samen met de toenemende handhaving van NIS2 in de EU worden organisaties geconfronteerd met een steeds complexer web van meldingsverplichtingen. Geautomatiseerde compliancerapportage — een onderscheidend kenmerk van KENSAI — wordt essentieel.
Bron: SecurityWeek — 23 Mrt