De nieuwste golf cyberaanvallen laat zien hoe aanvallers steeds vaker legitieme software inzetten als wapen, want in een recent incident werd het forensische hulpprogramma Velociraptor misbruikt om via Windows en een Cloudflare omgeving Visual Studio Code met een tunnel te starten, waarmee stille toegang en uitvoering van code mogelijk werden gemaakt zonder direct eigen malware te plaatsen. Onderzoekers koppelen deze werkwijze aan voorstadia van ransomware en benadrukken dat de keten begon met msiexec dat vanaf een workers domein een installer ophaalde, waarna aanvullende ladingen dezelfde route volgden.
De markt voor aanvallen verplaatst zich tegelijk naar samenwerkingsplatformen waar vertrouwen groot is, want meerdere beveiligingsfirma’s beschrijven campagnes die Microsoft Teams gebruiken om zich als helpdesk voor te doen en slachtoffers remote tools te laten installeren, waarna PowerShell scripts inloggegevens oogsten en persistentie aanleggen. Microsoft waarschuwde eerder dat misbruik van Quick Assist en Teams samenkomt in social engineering ketens die naar ransomware leiden, terwijl recente meldingen aangeven dat criminelen zelfs e mailfilters omzeilen omdat de eerste benadering niet via mail loopt.
Ook bij phishing zien we een stap vooruit in misleiding, want onderzoekers van Push Security tonen aan dat aanvallers met een eigen Microsoft tenant en ADFS legitiem ogende redirects vanaf outlook dot office dot com kunnen maken, waardoor slachtoffers op een nagebouwde aanmeldpagina belanden en URL controles minder houvast bieden, extra gevaarlijk wanneer malvertising en typefouten in zoekopdrachten het eerste klikmoment sturen. Publieke waarschuwingen noemen dit geen fout in Microsoft maar een exploitatie van vertrouwde routes die detectie lastiger maakt.
De straatrealiteit in het SOC vraagt daarom om detecties die gedrag volgen in plaats van alleen lijsten met bekende dreigingen, met aandacht voor onverwachte installatie van Velociraptor, het openen van VS Code in tunnelmodus, msiexec dat naar workers domeinen wijst en plotselinge Teams gesprekken van nieuwe of gecompromitteerde tenants, terwijl auditlogs zoals ChatCreated en MessageSent en netwerkverkeer naar tunneldiensten vroegtijdig context geven. Incidentenrespons teams adviseren om EDR regels te schrijven op these living off the land patronen, om logs rond remote tooling te verrijken en om rollback en isolatie te oefenen zodat later geen kostbare uren verloren gaan.
Suriname boekt het snelst resultaat wanneer industrie en overheid drie praktijkstappen prioriteit geven, goedkoop in uitvoering en effectief in het voorkomen van ellende. Zet standaard op endpoints een beleid neer dat onbekende beheerhulpmiddelen blokkeert of extra goedkeuring vraagt. Monitor op afwijkend gebruik van reguliere tools zoals msiexec en Visual Studio Code en leg met leveranciers vast dat toegang via Teams eerst wordt geverifieerd met een terugbelprotocol buiten het platform. Op deze manier kan productie blijven draaien wanneer de volgende campagne weer langs een vertrouwde route binnenkomt.
