Ajax gehackt, politie doelwit en iPhone exploits op straat

Nederland werd deze week hard geraakt. Bij AFC Ajax kregen aanvallers toegang tot gegevens van meer dan 300.000 fans, konden 42.000 seizoenkaarten stelen of deactiveren en stadionverboden inzien of opheffen. De politie meldde zelf getroffen te zijn door een phishingaanval. Ondertussen liggen exploits voor iPhones openbaar op GitHub en escaleren aanvallen op de software supply chain in hoog tempo.

Nederland in het vizier van aanvallers

De cyberaanval op AFC Ajax is een van de meest ingrijpende incidenten in de Nederlandse sportwereld. Aanvallers maakten misbruik van kwetsbaarheden in de API en het sleutelbeheer van de club, waardoor ze toegang kregen tot gegevens van meer dan 300.000 geregistreerde fans. Seizoenkaarthouders konden niets doen tegen de diefstal, want de kaart verdween simpelweg uit hun account. Bijzonder zorgelijk is dat de aanvallers ook details van 538 supporters met een stadionverbod konden inzien en die verboden konden opheffen. Ajax heeft aangifte gedaan en getroffen supporters worden op de hoogte gebracht.

Ook de politie werd deze week doelwit van een phishingaanval. Het Security Operations Center ontdekte de aanval snel en sloot direct de toegang af. De impact lijkt vooralsnog beperkt, en gegevens van burgers en onderzoeksinformatie zijn niet ingezien. Vorig jaar kreeg de politie te maken met een datalek waarbij gegevens van 62.000 medewerkers werden gestolen. Er loopt een opsporingsonderzoek.

Het CJIB onderzoekt ondertussen of een phishingcampagne met valse verkeersboetes verband houdt met het datalek bij Odido, waarbij gegevens van meer dan zes miljoen klanten werden buitgemaakt. De valse mails vragen om betaling via een link die leidt naar een pagina waar persoonlijke gegevens en creditcardinformatie worden gestolen. In de Tweede Kamer benadrukte minister Van Weel het belang van een voortdurende balans tussen encryptie en opsporing, zonder criminelen vrij spel te geven.

Supply chain aanvallen breiden zich razendsnel uit

De aanvallen op de software supply chain nemen in frequentie en raffinement toe. Het Python pakket LiteLLM, dat door miljoenen ontwikkelaars dagelijks wordt gedownload, bleek gecompromitteerd door de groep TeamPCP. Kwaadaardige versies waren minstens twee uur beschikbaar op PyPI, lang genoeg om bij een pakket met drie miljoen dagelijkse downloads aanzienlijke schade aan te richten. De malware stal credentials, API sleutels en installeerde een persistente downloader.

Op npm ontdekten onderzoekers van ReversingLabs zeven kwaadaardige pakketten die ontwikkelaars misleidden met valse installatieberichten, compleet met voortgangsbalken en neplogboeken. Het meest verraderlijke aspect was dat de pakketten een foutmelding genereerden over schrijfrechten, waarna de ontwikkelaar werd gevraagd om het sudo wachtwoord in te voeren. Geen enkel legitiem pakket heeft dat nodig.

Tegelijkertijd richt een grootschalige phishingcampagne zich op ontwikkelaars via GitHub Discussions. Valse beveiligingswaarschuwingen voor Visual Studio Code, met verzonnen CVE nummers, worden massaal gepost en via GitHub's notificatiesysteem rechtstreeks in de inbox van ontwikkelaars bezorgd. De link leidt via een Google endpoint naar een fingerprinting pagina die onderscheid maakt tussen echte gebruikers en bots.

Webwinkels op Magento en Adobe Commerce worden massaal aangevallen via een lek in de REST API, dat onderzoekers de naam PolyShell hebben gegeven. Sinds 19 maart is misbruik aangetroffen op 56,7 procent van alle kwetsbare webshops. Een patch is nog alleen beschikbaar voor een ontwikkelversie, wat productieomgevingen zonder bescherming laat.

iPhone exploits openbaar beschikbaar

De exploitkit DarkSword, die iPhones viseert, is openbaar gemaakt via GitHub. Beveiligingsexperts waarschuwen dat dit het hacken van iPhones aanzienlijk vereenvoudigt. De spyware maakt niet eens gebruik van phishingtrucs, maar richt zich op websites die al bezocht zijn om apparaten automatisch te infecteren. Matthias Frielingsdorf van iVerify waarschuwt dat de exploits direct werken zonder dat kennis over iOS vereist is. DarkSword richt zich op apparaten met iOS 18, en volgens cijfers van Apple draait ongeveer een kwart van alle iPhones en iPads wereldwijd op die versie.

Kaspersky ontdekte daarnaast het Coruna exploit framework, een doorontwikkeling van het framework dat werd gebruikt in de Operation Triangulation spionagecampagne van 2023. Coruna bevat vijf volledige iOS exploitketens die gebruikmaken van 23 kwetsbaarheden en is uitgebreid om moderne hardware te targeten, waaronder Apple's A17 en M3 chips. Wat als precisie spionagetool begon, wordt nu ook ingezet voor financieel gemotiveerde campagnes gericht op het stelen van cryptocurrency. Apple heeft een bulletin gepubliceerd met fixes voor alle gebruikte kwetsbaarheden.

Geavanceerde malware en ontwijkingstechnieken

Onderzoekers van G DATA ontdekten Kiss Loader, een nieuwe malware die gebruikmaakt van Early Bird APC injectie om stilletjes Windows systemen te infiltreren. De loader richt zich op explorer.exe, een vertrouwd systeemproces, en plaatst een Asynchronous Procedure Call in de wachtrij van de primaire thread. Opvallend is dat de WebDAV directory van de aanvaller volledig open stond, wat onthulde dat de dreigingsactor nog actief aan de loader werkte. Een onderzoeker liet zelfs een Notepad bericht achter, waarop de aanvaller binnen een uur antwoordde.

De Torg Grabber infostealer richt zich op 728 wallets voor cryptocurrency en meer dan 100 extensies voor wachtwoorden en authenticatie. De malware gebruikt de ClickFix techniek om het klembord te kapen en gebruikers te misleiden een kwaadaardig PowerShell commando uit te voeren. In drie maanden zijn 334 unieke samples gecompileerd.

Trellix onderzoekers ontdekten de Ghost SPN aanval, een geavanceerde variant van Kerberoasting die traditionele detectie volledig omzeilt. Aanvallers wijzen tijdelijk een valse Service Principal Name toe aan een gewoon gebruikersaccount, vragen een Kerberos ticket aan, kraken dat offline en verwijderen vervolgens alle sporen. Zonder persistente indicatoren is de inbraak achteraf niet meer te koppelen aan kwaadaardig gedrag.

Het aantal servers dat botnets aanstuurt is in de tweede helft van 2025 met 24 procent gestegen. De Verenigde Staten hebben China ingehaald als belangrijkste hub, met meer dan 21.000 actieve servers. De groei komt voort uit varianten van Mirai malware, waarvan inmiddels 116 verschillende versies bestaan. De groep achter Aisuru en KimWolf werd gelinkt aan de grootste digitale aanvallen ooit, waaronder een aanval van 31,4 Terabit per seconde.

De belangrijkste punten

- Ajax gehackt: Gegevens van 300.000 fans blootgelegd, 42.000 seizoenkaarten konden worden gestolen, stadionverboden konden worden opgeheven

- Politie getroffen door phishing: SOC detecteerde snel, impact lijkt beperkt, opsporingsonderzoek gestart

- CJIB phishing en Odido: Onderzoek naar verband tussen phishingcampagne met valse boetes en het datalek bij Odido

- DarkSword op GitHub: Exploitkit voor iPhones met iOS 18 openbaar beschikbaar, honderden miljoenen toestellen kwetsbaar

- Supply chain escalatie: LiteLLM, npm pakketten en GitHub Discussions misbruikt voor verspreiding van malware onder ontwikkelaars

- Ghost SPN aanval: Nieuwe variant van Kerberoasting omzeilt detectie volledig door tijdelijke identiteitsmanipulatie

- RedLine beheerder uitgeleverd: Armeense verdachte Hambardzum Minasyan riskeert tot 30 jaar cel voor rol in een van de meest verspreide infostealers

Lees ook

- S02E35: Odido finale, 6,1 miljoen op straat, overheid kwetsbaar - Achtergrond bij het Odido datalek dat nu gelinkt wordt aan CJIB phishing

- Datalek bij de politie, wat moet je weten? - Eerder over het datalek bij de politie in 2024

- Forse toename van aanvallen op Citrix ADC en Gateway - Achtergrond bij Citrix kwetsbaarheden

Mis geen enkel Cyber Journaal - schrijf je in

Volg ook op YouTube | Spotify | LinkedIn

Bron: Cybercrimeinfo, ondezoeksteam