Sophos heeft vandaag zijn onderzoeksrapport "Pacific Rim" gepresenteerd, waarin wordt beschreven hoe het cybersecuritybedrijf de afgelopen vijf jaar is aangevallen door Chinese hackers die zich richtten op netwerken wereldwijd, inclusief die van Sophos zelf. De aanvallers maken gebruik van kwetsbaarheden in netwerkinfrastructuur om aangepaste malware te installeren, waarmee ze netwerkcommunicatie kunnen afluisteren en inloggegevens kunnen stelen. Bekende fabrikanten zoals Cisco en Fortinet zijn ook doelwit geweest. Sophos wijst op verschillende Chinese hackergroepen, waaronder Volt Typhoon en APT41, die deze aanvallen uitvoeren. Sinds 2018 heeft Sophos deze bedreigingen actief onderzocht en hun tactieken zijn in de loop der jaren geëvolueerd. Het rapport benadrukt de noodzaak van goede beveiliging en biedt inzichten in hoe organisaties zichzelf kunnen beschermen tegen dergelijke aanvallen.

Bron: 1, 2

De Russische cyberdreiging Cozy Bear heeft een grootschalige spear-phishingcampagne gelanceerd die zich richt op meer dan 100 organisaties in kritieke sectoren, zoals overheidsinstellingen en IT-diensten. Sinds 22 oktober 2024 hebben aanvallers zorgvuldig samengestelde e-mails verzonden die gebruikers proberen te misleiden tot het openen van een Remote Desktop Protocol (RDP) configuratiebestand. Dit bestand kan gebruikers in staat stellen om verbinding te maken met een server die door de aanvallers wordt beheerd, wat leidt tot ernstige beveiligingsrisico's.

De campagne maakt gebruik van vertrouwde namen, waaronder Microsoft en Amazon Web Services, om geloofwaardigheid te verlenen. Wanneer de RDP-verbinding tot stand komt, kunnen aanvallers toegang krijgen tot gevoelige informatie van de slachtoffers, inclusief hun lokale apparaatspecifieke gegevens. Microsoft heeft verschillende mitigatiemaatregelen aanbevolen, waaronder het gebruik van multi-factor authenticatie en versterkte endpointbeveiliging om deze bedreiging tegen te gaan.

Bron: 1

China heeft melding gemaakt van de ontdekking van spionageapparatuur, die vermoedelijk door buitenlandse inlichtingenagentschappen is geplaatst in zijn wateren. In een bericht op een WeChat-account van het Ministerie van Nationale Veiligheid wordt beweerd dat deze technologie, omschreven als "onderwaterlighthouses", wordt gebruikt om marine-informatie te verzamelen en inbreuken op de Chinese wateren te faciliteren. De apparaten zouden zich op de zeebodem bevinden en informatie over hydrologische omstandigheden en scheepsactiviteit verzamelen. China beschouwt deze activiteiten als een ernstige bedreiging voor zijn nationale veiligheid en benadrukt de noodzaak om de diepzeebeveiliging te waarborgen als een strategische prioriteit. Dit komt te midden van beschuldigingen aan China zelf van spionage met nieuwe technologieën, zoals de vermeende spionageballon die vorig jaar boven de VS werd waargenomen.

Bron: 1

Sinds april 2024 constateert de Finse kustwacht verstoringen van GPS-signalen in de Oostzee, met een toename van valse locatiegegevens door olietankers die hun bezoeken aan Russische havens willen verhullen. Deze manipulatie leidt tot gevaarlijke situaties op zee, waarbij schepen soms in de problemen komen door onjuiste koersinformatie. Commandant Pekka Niittyla van de kustwacht wijst erop dat deze storingen niet alleen de navigatie beïnvloeden, maar ook andere systemen aan boord verstoren. De kustwacht vermoedt dat Rusland verantwoordelijk is voor deze verstoringen, mogelijk als een maatregel om de oliehavens te beschermen tegen Oekraïense aanvallen. Zowel Baltische als Scandinavische landen hebben soortgelijke problemen ervaren, wat ook gevolgen heeft voor het luchtverkeer in de regio.

Bron: 1

Chinese hackers hebben duizenden TP-Link WiFi-routers gecompromitteerd om verborgen cyberaanvallen uit te voeren, met name door middel van "password-spraying". Deze activiteiten, ontdekt in augustus 2023, maken gebruik van een botnet dat gemiddeld 8.000 gecompromitteerde apparaten inzet. De hackers richten zich voornamelijk op denktanks, overheden en organisaties in Noord-Amerika en Europa, waarbij ze elke dag slechts één inlogpoging per account doen, wat hun detectie bemoeilijkt. Microsoft heeft het botnet CovertNetwork-1658 genoemd en wijst op de moeilijkheid om de kwaadaardige activiteiten te volgen vanwege het gebruik van meerdere IP-adressen. Hoewel het gebruik van dit botnet de laatste tijd is afgenomen, wordt verwacht dat het nog steeds actief is en mogelijk nieuwe infrastructuur aan het opbouwen is. Microsoft raadt organisaties aan om hun cyberbeveiliging te verbeteren door strenge authenticatieprotocollen toe te passen.

Bron: 1

Amerikaanse veiligheidsdiensten, waaronder de ODNI, FBI en CISA, hebben opnieuw waarschuwingen afgegeven over Russische desinformatiecampagnes die gericht zijn op de presidentsverkiezingen van 2024. Deze campagnes verspreiden valse beweringen, zoals het idee dat verkiezingsfunctionarissen in swing states plannen zouden maken om de uitslag te manipuleren. Er worden nepvideo’s en artikelen gepromoot die beweren dat verkiezingsfraude plaatsvindt, zoals stemmen vervalsen en manipulatie van kiezerslijsten. Een specifiek voorbeeld betreft een video waarin een valse getuige frauduleuze activiteiten in Arizona claimt. Ondanks deze tactieken, zijn experts van mening dat de impact van dergelijke desinformatie beperkt is, aangezien veel van de claims snel worden weerlegd door autoriteiten. Toch vrezen de veiligheidsdiensten dat dergelijke beïnvloedingsoperaties door Rusland de politieke verdeeldheid zullen vergroten tot de verkiezingen officieel zijn goedgekeurd in januari 2025.

Bron: 1

Een hacker, die bekend staat als "natohub," beweert gegevens van het Amerikaanse leger te hebben gelekt. Het gaat om gevoelige informatie over meer dan 385.000 militaire personeelsleden en contractanten. De gelekte data omvatten namen, e-mailadressen, telefoonnummers, adressen en details over hun militaire dienst. De informatie wordt momenteel aangeboden op het dark web. De betrokkenen zouden ernstig in gevaar kunnen zijn door de openbaarmaking van zulke persoonlijke gegevens. De hacker heeft aangegeven dat de gegevens te koop zijn, wat zorgt voor grote bezorgdheid binnen de veiligheids- en inlichtingendiensten van de Verenigde Staten. Dit incident benadrukt opnieuw de kwetsbaarheid van gevoelige overheidsinformatie en de risico’s van cyberaanvallen. Het is nog niet bevestigd of de lekken daadwerkelijk van de Amerikaanse overheid afkomstig zijn, maar de situatie wordt zeer serieus genomen.

APT36, een Pakistaanse hackinggroep, heeft zijn malwaretools, zoals ElizaRAT en de nieuw geïntroduceerde ApoloStealer, verder ontwikkeld om gerichter spionage uit te voeren op India. De groep richt zich voornamelijk op Indiase overheidsinstanties, diplomaten en militaire faciliteiten. ElizaRAT, een remote access tool, wordt verspreid via phishingcampagnes met links naar cloudplatforms zoals Google Drive, Slack en Telegram. Deze platforms helpen de malware om zich te camoufleren in normaal netwerkverkeer, waardoor detectie moeilijker wordt.

ApoloStealer is ontworpen om specifieke bestandstypes, zoals documenten en afbeeldingen, te stelen van besmette systemen. De nieuwste campagnes van APT36 maken gebruik van diverse infrastructuren, van cloudgebaseerde platforms tot virtuele privéservers, om commando- en controle-operaties uit te voeren. Dit toont de geavanceerde en veelzijdige aanpak van de groep, die zijn malware voortdurend verfijnt om de kans op ontdekking te verkleinen.

Bron: 1

Een hackercollectief, genaamd EvilMorocco, heeft naar verluidt gevoelige gegevens van het Ministerie van Gezondheid van Algerije gelekt. De gegevens omvatten persoonlijke informatie van Algerijnse burgers, inclusief medische dossiers, die zijn vrijgegeven op het dark web. Deze aanval maakt deel uit van een bredere trend van cyberaanvallen waarbij hacktivistische groeperingen landen aanvallen met als doel politieke boodschappen over te brengen. De algehele impact van deze datalekken kan verstrekkend zijn, met mogelijke gevolgen voor de privacy en de nationale veiligheid. De Algerijnse overheid heeft nog geen officieel commentaar gegeven, maar experts benadrukken de urgentie van verbeterde cyberbeveiligingsmaatregelen om dit soort aanvallen in de toekomst te voorkomen. De vraag blijft of dit incident het begin is van een grotere campagne tegen de regio.

De Algemene Rekenkamer heeft de beveiliging van het Defensienetwerk NAFIN onderzocht en geconcludeerd dat, hoewel het netwerk technisch goed is opgezet, de praktische beveiliging tekortschiet. Onbevoegden kunnen fysiek toegang krijgen tot beveiligde ruimtes, en detectiemiddelen worden niet optimaal ingezet. NAFIN, een samenwerking tussen het ministerie van Defensie en KPN, is van groot belang voor veilige communicatie tussen verschillende overheidsinstellingen, zoals de politie en de hulpdiensten. De Rekenkamer stelt dat er geen duidelijke visie is voor de toekomst van NAFIN, en dat de fysieke beveiliging op Defensie-locaties onvoldoende is. Bovendien is Defensie afhankelijk van KPN voor de uitvoering van het netwerk, wat leidt tot een gebrek aan controle over de beveiliging. De Rekenkamer beveelt aan om de beveiliging te versterken en meer toezicht te houden op de externe partijen die bij het netwerk betrokken zijn.

Bron: pdf downloaden

Een groep hackers uit Noord-Korea, bekend als BlueNoroff, richt zich op bedrijven in de cryptocurrency-sector met de malware "Hidden Risk". Deze malware wordt verspreid via e-mails met nepnieuws over cryptocurrency-trends, waarbij een schadelijke applicatie zich voordoet als een PDF-bestand. Bij installatie downloadt de malware een tweede fase die fungeert als een backdoor om op afstand commando's uit te voeren.

De aanvallen maken gebruik van een nieuwe techniek die het zshenv-configuratiebestand op macOS misbruikt, waardoor gebruikers niet gewaarschuwd worden, zelfs niet bij verdachte activiteiten. De malware is ondertekend met een geldige Apple-ontwikkelaars-ID en werd voor het eerst waargenomen in juli 2024. Dit soort aanvallen is onderdeel van een breder patroon van cybercriminaliteit door Noord-Korea, die zich richt op de cryptocurrency- en DeFi-sectoren.

Bron: 1

De hacker-groep NoName heeft bevestigd dat zij een serie DDoS-aanvallen hebben uitgevoerd op verschillende belangrijke Zuid-Koreaanse websites. De doelwitten waren onder andere de Korea Railroad Corporation, Korea Gas Technology Corporation, de Korea Electrical Safety Corporation en de Korea Aviation Association. DDoS-aanvallen zorgen ervoor dat websites tijdelijk onbereikbaar worden door ze te overbelasten met verkeer. Dit soort aanvallen heeft grote gevolgen voor de betrokken organisaties, die afhankelijk zijn van hun online diensten. De motieven achter de aanvallen zijn nog niet volledig duidelijk, maar dit incident benadrukt de groeiende dreiging van cyberaanvallen die gericht zijn op vitale infrastructuren wereldwijd.

Het Zuid-Koreaanse leger meldt dat Noord-Korea opnieuw GPS-signalen verstoort in het grensgebied, wat problemen veroorzaakt voor tientallen burgervliegtuigen en schepen. De verstoringen zijn vooral waargenomen nabij de Noord-Koreaanse grensstad Kaesong. Deze GPS-verstoringen zijn toegenomen sinds mei 2023, toen Noord-Korea begon met het sturen van afvalballonnen naar het zuiden als vergelding voor Zuid-Koreaanse propagandaballonnen.

De situatie heeft geleid tot meerdere onderbrekingen van het vliegverkeer op Incheon International Airport, dat minder dan 100 kilometer van de grens ligt. Deze spanningen komen bovenop recente provocaties zoals Noord-Korea's lancering van een intercontinentale raket en hun militaire steun aan Rusland in de oorlog tegen Oekraïne. Het Zuid-Koreaanse leger roept Noord-Korea op om te stoppen met deze provocerende acties.

Bron: 1