De nieuwste SOC Threat Radar van Barra­cuda Managed XDR waar­schuwt dat cyber­aan­vallen steeds vaker worden ontworpen om legi­tiem, vertrouwd of volledig onzicht­baar te lijken. Uit recente inci­denten die door Barra­cuda zijn geneu­tra­li­seerd, blijkt dat aanval­lers geraf­fi­neerde methoden gebruiken om tradi­ti­o­nele secu­ri­ty­sys­temen te omzeilen. Bijvoor­beeld mislei­dende Micro­soft 365-logins, namaak-AI-soft­ware en malware die direct vanuit het clip­board opereert.

De belangrijkste dreigingen van dit moment

• Betrouw­baar ogende Micro­soft 365-logins: aanval­lers slagen er steeds vaker in om in te loggen op Micro­soft 365-accounts via IP-adressen die afkom­stig lijken van legi­tieme gebrui­kers. Door gebruik te maken van VPN’s of door snel van IP-adres te wisselen, vallen hun acti­vi­teiten niet op tussen de dage­lijkse logins van mede­wer­kers. In april regi­streerden onder­zoe­kers een stij­ging van onge­veer 25% in scha­de­lijke logins vanuit landen met een laag risico, zoals de VS en het VK. Omdat dit succes­volle aanmel­dingen zijn (en geen herhaalde mislukte pogingen), worden ze door tradi­ti­o­nele secu­rity-tools nauwe­lijks opge­merkt. Zodra aanval­lers binnen zijn, kunnen ze onop­ge­merkt e‑mails, bestanden en interne systemen buit­maken.
  • Advies: monitor alle inlog­po­gingen, onge­acht of deze succesvol zijn of waar ze vandaag komen. Na login moet afwij­kend gedrag (zoals nieuwe devices of onge­wone tijd­stippen) direct gecheckt worden en overal moet multi-factor authen­ti­catie (MFA) afge­dwongen worden.

• Namaak Claude AI-installer verspreidt malware: cyber­cri­mi­nelen spelen handig in op de enorme belang­stel­ling voor AI-tools. Barra­cuda signa­leerde een inci­dent waarbij een gebruiker ‘Claude Code’ probeerde te down­lo­aden, maar werd omge­leid naar een zeer over­tui­gende namaak­web­site. In plaats van de soft­ware te down­lo­aden, lanceerde de site een gelaagde malware-aanval. De malware voerde een PowerS­hell-script uit, stal inlog­ge­ge­vens die in de browser waren opge­slagen en instal­leerde mala­fide certi­fi­caten om verwij­de­ring moei­lijker te maken. Hoewel de aanval binnen enkele seconden werd inge­damd, was dit toch lang genoeg voor de aanval­lers om creden­tials te stelen en persis­tentie te regelen.
• Advies: stel strikte poli­cies in, zodat soft­ware alleen van offi­ciële leverancierspagina’s gedown­load kan worden. Beperk de instal­la­tie­rechten op bedrijfs­de­vices en gebruik endpoint­se­cu­rity die kijkt naar gedrag in plaats van enkel naar bekende virus­de­fi­ni­ties (signa­tures).

• Malware omzeilt detectie via klem­bord-trucs: onder­zoe­kers hebben malware ontdekt die detectie omzeilt door scha­de­lijke code recht­streeks in clip­board te laden en via PowerS­hell in-memory uit te voeren. Omdat er geen tradi­ti­o­neel bestand op de harde schijf wordt opge­slagen, detec­teren basale anti­vi­rus­scan­ners deze malware niet. De malware maakte contact met een command-and-control-server, haalde de scha­de­lijke payload op, kopi­eerde deze naar het clip­board en voerde de code lokaal uit. Pas toen de server­ver­bin­ding een alert trig­gerde, kon Barra­cuda de drei­ging indammen.
  • Advies: monitor niet alleen bestanden, maar speci­fiek het gedrag van processen en PowerS­hell-acti­vi­teit. Beperk PowerS­hell-rechten tot mede­wer­kers die dit echt nodig hebben en plaats devices auto­ma­tisch in quaran­taine zodra er verdachte netwerk­ac­ti­vi­teit wordt gede­tec­teerd.

Belangrijkste bevindingen uit het SOC

Het Secu­rity Opera­tions Center (SOC)-team van Barra­cuda bena­drukt dat cyber­cri­mi­nelen steeds onzicht­baarder te werk gaan. Waar aanvallen voor­heen duide­lijke sporen achter­lieten, in de vorm van verdachte bestanden of mislukte inlog­po­gingen, verbergen aanval­lers zich nu tussen het regu­liere netwerk­ver­keer. Daar­naast misbruiken ze de hype rond AI-tools. Snel­heid en gedrags­ge­ba­seerde endpoint-detectie zijn essen­tieel om deze ‘onzicht­bare’ drei­gingen tegen te houden voordat er schade ontstaat.

Meer infor­matie is te vinden op: https://​blog​.barra​cuda​.com/​2​0​2​6​/​0​5​/​2​7​/​s​o​c​-​t​h​r​e​a​t​-​r​a​d​a​r​-​m​a​y​-​2​026.