S02E34
Een kwetsbaarheid in Cisco firewalls krijgt de maximale dreigingsscore van 10.0 en wordt actief misbruikt voor ransomware, twee onafhankelijke supply chain aanvallen richten zich op ontwikkelomgevingen en een tweede iOS exploit kit in een maand maakt gebruik van drie zero days. Het journaal bestrijkt het nieuws van 18 tot en met 19 maart 2026.
Cisco firewall met maximale score actief onder vuur
Het Nationaal Cyber Security Centrum waarschuwt voor twee kritieke kwetsbaarheden in de webinterface van Cisco Secure Firewall Management Center. De ernstigste, CVE-2026-20131, heeft een CVSS score van 10.0, de hoogst mogelijke waarde. Een ongeauthenticeerde aanvaller kan via deze kwetsbaarheid op afstand willekeurige code uitvoeren met beheerdersrechten. De kwetsbaarheid wordt veroorzaakt door onveilige deserialisatie van data in de beheerinterface.
Uit onderzoek van Amazon is gebleken dat deze kwetsbaarheid vermoedelijk al sinds 26 januari wordt misbruikt door de ransomwaregroep Interlock. De groep staat erom bekend organisaties aan te vallen die zich geen downtime kunnen veroorloven, zoals lokale overheden en scholen. Eerder trof Interlock de stad St. Paul en een Amerikaans dialysecentrum. Het NCSC verwacht op korte termijn grootschalige exploitatiepogingen en adviseert dringend om de update zo spoedig mogelijk te installeren.
Op dezelfde dag waarschuwden de FBI en CISA voor risico's rond Microsoft Intune na een aanval op medische apparatuurfabrikant Stryker door de aan Iran gelinkte groep Handala. Duizenden apparaten werden op afstand gewist, waardoor medewerkers geen toegang meer hadden tot cruciale systemen. CISA adviseert Intune gebruikers om de recent door Microsoft gepubliceerde best practices toe te passen, waaronder minimale rechten via role based access controls en multi factor authenticatie voor alle accounts. De FBI heeft een website die in verband wordt gebracht met Handala offline gehaald.
Ontwikkelaars worden het nieuwe doelwit
Twee onafhankelijke supply chain aanvallen op dezelfde dag maken duidelijk dat ontwikkelomgevingen een primair aanvalsoppervlak zijn geworden. De fast-draft extensie op de Open VSX registry, met meer dan 26.000 downloads, bleek een verborgen backdoor te bevatten. De malware haalde stilletjes een remote access trojan en een infostealer op en voerde deze uit op de machines van ontwikkelaars. Vier onafhankelijke aanvalsmodules richtten zich tegelijkertijd op browser credentials, crypto wallet data, lokale bestanden, broncode en clipboard inhoud. Onderzoekers van Aikido ontdekten de malware tijdens een handmatige review van de release historie.
Tegelijkertijd introduceerde de Noord Koreaanse groep WaterPlum een nieuwe malware genaamd StoatWaffle, verspreid via gecompromitteerde VSCode repositories die eruitzien als blockchain projecten. Een verborgen tasks.json bestand voert automatisch een kwaadaardige taak uit zodra een ontwikkelaar het project opent in VSCode. StoatWaffle bestaat uit een loader, een credential stealer en een remote access component. Op macOS verzamelt het ook de Keychain database. Onderzoekers van NTT Security identificeerden de campagne en koppelden deze aan Team 8, een subgroep van WaterPlum die eerder de malware OtterCookie gebruikte.
Beide aanvallen tonen hetzelfde patroon: het misbruiken van vertrouwen in ontwikkeltools en open source ecosystemen om toegang te krijgen tot broncode en inloggegevens van softwareontwikkelaars.
Tweede iOS exploit kit in een maand ontdekt
Een nieuwe exploit kit voor Apple iOS apparaten, genaamd DarkSword, wordt sinds november 2025 gebruikt door verschillende dreigingsactoren. De ontdekking volgt kort na de vondst van Coruna en is daarmee de tweede iOS exploit kit die binnen een maand is ontdekt. DarkSword misbruikt zes verschillende kwetsbaarheden, waaronder drie zero days: CVE-2026-20700, CVE-2025-43529 en CVE-2025-14174.
De exploit kit wordt vermoedelijk ingezet door de Russische spionagegroep UNC6353, gericht op Oekraiense gebruikers. Onderzoekers van Google Threat Intelligence Group, iVerify en Lookout beschrijven hoe DarkSword volledige toegang krijgt tot iPhones met iOS versies tussen 18.4 en 18.7. De gestolen data omvat e-mails, iCloud Drive bestanden, contacten, SMS berichten, browsergeschiedenis, crypto wallet data, wachtwoorden, foto's, locatiegeschiedenis en berichtgeschiedenissen van apps zoals Telegram en WhatsApp. DarkSword hanteert een snelle aanpak waarbij de data binnen seconden wordt verzameld en geexfiltreerd, waarna de sporen worden gewist.
Apple adviseert gebruikers van oudere iPhones om hun besturingssysteem te updaten. Gebruikers met iOS versies 15 tot en met 26 die al beveiligingspatches hebben, hoeven geen actie te ondernemen. Voor anderen adviseert Apple om te updaten naar iOS 15.8.7 of iPadOS 15.8.7.
Iraanse cyberespionage schaalt op
De Iraanse groep Boggy Serpens, ook bekend als MuddyWater, heeft zijn activiteiten aanzienlijk opgeschaald. De groep voert gerichte campagnes uit tegen diplomatieke missies, energiebedrijven, maritieme operators en financiele instellingen in Israael, Hongarije, Turkije, de VAE en Zuid-Amerika. Unit 42 analisten hebben vastgesteld dat de groep is overgestapt op een model gericht op lange termijn persistentie, met aangepaste implants gebouwd in Rust en generatieve AI geintegreerd in de ontwikkelingspipeline.
Een viergolfsaanval tegen een in de VAE gevestigd marine en energiebedrijf dat is gelinkt aan Saudi Aramco duurde van augustus 2025 tot en met februari 2026. De groep maakte ook gebruik van een gecompromitteerde mailbox bij het Omaanse Ministerie van Buitenlandse Zaken om vervalste diplomatieke uitnodigingen te versturen aan ambassades wereldwijd. E-mails afkomstig van gekaapte overheidsaccounts omzeilden spamfilters omdat ze een negatief spam confidence level ontvingen.
Daarnaast werd een Iraans botnet blootgelegd nadat de operator een open directory op zijn staging server achterliet. Onderzoekers van Hunt.io ontdekten een 15 node relay netwerk, DDoS tooling en een bot client die nog actief in ontwikkeling was. De server bevatte 449 bestanden in 59 subdirectories, waaronder credential lists die werden gebruikt om systemen via SSH aan te vallen. Inline code comments in het Farsi bevestigden dat de actor in Iran is gevestigd.
Identiteitsfraude verdrievoudigt
Uit het jaaroverzicht van Cisco Talos blijkt dat identiteitsfraude het belangrijkste thema is van 2025. Aanvallers proberen steeds vaker als een herkenbare gebruiker te worden uitgenodigd in plaats van met brute kracht binnendringen. Dit sluit aan bij de groeiende dreiging van AitM phishing, waarbij aanvallers sessietokens onderscheppen. Frauduleuze apparaatregistraties stegen met 178 procent en bijna een derde van de MFA spray aanvallen was gericht op identity access management applicaties.
SpyCloud bevestigt deze trend in zijn jaarlijkse Identity Exposure Report. Het bedrijf heroverde 18,1 miljoen blootgestelde API sleutels en tokens en identificeerde 6,2 miljoen credentials gekoppeld aan AI tools. Succesvolle phishingaanvallen stegen met 400 procent ten opzichte van het voorgaande jaar. Opvallend is de toename van niet menselijke identiteiten: machine identiteiten zoals API sleutels en sessietokens die vaak geen multi factor authenticatie hebben, niet worden geroteerd en met brede rechten opereren.
In Nederland werden verdachten door de Rechtbank Rotterdam veroordeeld voor grootschalige bankhelpdeskfraude. Dit bevestigt dat cybercriminaliteit actief wordt vervolgd.
De belangrijkste punten
- Cisco FMC CVSS 10.0: wordt sinds januari misbruikt door Interlock ransomware, NCSC verwacht grootschalige exploitatie
- Twee supply chain aanvallen op ontwikkelaars: fast-draft VSX extensie (26.000+ downloads) en Noord Koreaanse WaterPlum via VSCode
- DarkSword iOS exploit kit: tweede in een maand, 6 kwetsbaarheden waaronder 3 zero days, vermoedelijk Russische spionage
- Innova Energie datalek: medewerker stal klantgegevens inclusief bankrekeningnummers
- Identiteitsfraude +178 procent: frauduleuze apparaatregistraties en phishing +400 procent (Cisco Talos, SpyCloud)
- Iraanse cyberespionage: MuddyWater escaleert met AI en Rust malware, botnet blootgesteld door open directory
Lees ook
- S02E33: ClickFix treft gemeente Epe, AI hackt McKinsey en EU sancties - ClickFix als dominant aanvalswapen en AI die McKinsey hackt
- S02E32: Cisco SD-WAN gehackt, Justitie gecompromitteerd en INTERPOL slaat toe - Eerdere Cisco kwetsbaarheden en opsporingsacties
- 6 zero days gedicht, Fancy Bear valt aan en strijd om DigiD - Zero days en Russische staatshackers eerder deze maand
- Privacyboetes bij Nederlandse gemeenten en acties tegen Iran - Iraanse cyberespionage en Nederlandse datalekken
Mis geen enkel Cyber Journaal - schrijf je in
Bron: Cybercrimeinfo, ondezoeksteam
Klik door naar al het nieuws in categorie 1.0 Slachtoffers in België en Nederland, 2.0 Cyberoorlog en hybride oorlog, 3.0 Kwetsbaarheden in software (CVE’s), 4.0 Dreigingen, 5.0 Opsporingsnieuws en 6.0 Algemeen gerelateerd cyber nieuws.