Vier opvallende cyberontwikkelingen volgens Proofpoint
Het dreigingslandschap ontwikkelt zich ook in 2025 razendsnel. Uit onderzoek van cybersecuritybedrijf Proofpoint blijkt dat cybercriminelen bijvoorbeeld meer accountovernames uitvoeren.

Ook zien analysen van het bedrijf dat Bitcoinscams evolueren en het misbruik van RMM-tooling toeneemt. Dit zijn vier opvallende ontwikkelingen in het eerste kwartaal dit jaar. 1. Aantal accountovernames stijgtDe dreigingsonderzoekers van het bedrijf zien een stijgende trend in het gebruik van HTTP-client tools bij accountovername (account take over, ATO) incidenten. Dit zijn softwareapplicaties of -libraries die gebruikt worden voor het versturen van verzoeken en het ontvangen van responses van webservers. Aanvallers gebruiken deze tools voor het compromitteren van Microsoft 365-omgevingen. Dit zijn de belangrijkste resultaten uit het onderzoek: |
|
Verschillende HTTP-client tools zijn verbeterd voor ATO-aanvallen. Deze misbruiken API’s en maken requests aan. De trend suggereert dat aanvallers blijven wisselen tussen verschillende HTTP-client tools. Ze bieden verschillende voordelen, waardoor aanvallen efficiënter worden. 2. De evolutie van BitcoinscamsNa de opkomst van Bitcoinscams, gebaseerd op afbeeldingen, zijn het misbruiken van video’s (VisSpam) nu een zorgwekkende trend. Aanvallers gebruiken kleine videobestanden voor het verbeteren van hun misleidingstactieken. Dit zijn de laatste trends: |
|
Terwijl oplichters hun tactieken verbeteren, moeten verdedigers en consumenten waakzaam blijven en zich aanpassen aan nieuwe aanvalketens. Misbruik op basis van video vertegenwoordigt een evolutie in de tools die aanvallers gebruiken bij het uitbuiten van slachtoffers. Samenwerking in de sector is essentieel om deze steeds veranderende bedreigingen een stap voor te blijven. 3. RMM-tooling als eerste stap cyberaanvalRMM-software wordt gebruikt in IT-ondernemingen om op afstand computers te beheren. Wanneer deze misbruikt wordt, kan deze software hetzelfde gebruikt worden als Remote Access Trojans (RAT’s). Financieel gemotiveerde dreigingen leveren RMM-tools steeds vaker af via e-mail. Verder blijkt uit onderzoek dat: |
|
De verwachting is dat RMM-tooling steeds meer ingezet wordt voor een eerste payload. Dreigingsactoren maken en verspreiden makkelijk externe monitoring tools. Deze worden vaak legitiem gebruikt door eindgebruikers. RMM’s zijn hierdoor minder verdacht dan andere soorten RAT’s. Ook omzeilt deze tooling antivirussen en netwerkdetectie, omdat het vaak legitieme, ondertekende payloads zijn die kwaadaardig worden verspreid. 4. Extreem specifieke e-mailcampagneIn de herfst van 2024 exploiteert UNK_CraftyCamel een gecompromitteerd Indiaas elektronicabedrijf om organisaties in de Verenigde Arabische Emiraten (VAE) aan te vallen. Een schadelijk ZIP-bestand installeert een aangepaste Go-backdoor genaamd 'Sosano', die gebruikmaakt van meerdere polyglotbestanden. Polyglotbestanden zijn bestanden die, afhankelijk van de manier waarop ze worden gelezen, als verschillende formaten kunnen worden geïnterpreteerd. Dit is een lopend onderzoek. Tot nu toe blijkt dat: |
|