Aanbevolen verhaal

Russisch APT28 zet “NotDoor” Outlook-backdoor in tegen bedrijven in NAVO-landen

De Russische staatsgesponsorde hackersgroep APT28 wordt verantwoordelijk gehouden voor een nieuwe Microsoft Outlook-backdoor genaamd NotDoor in aanvallen op meerdere bedrijven uit verschillende sectoren in NAVO-lidstaten.

NotDoor is een VBA-macro voor Outlook die is ontworpen om inkomende e-mails te controleren op een specifiek triggerwoord. Wanneer deze wordt gedetecteerd, kunnen aanvallers gegevens exfiltreren, bestanden uploaden en opdrachten uitvoeren op de computer van het slachtoffer. De malware wordt ingezet via Microsofts OneDrive executable met behulp van DLL side-loading, waardoor de VBA-backdoor wordt geïnstalleerd en macrobeveiligingen worden uitgeschakeld.

De malware ondersteunt vier commando’s: cmd en cmdno voor het uitvoeren van commando’s, dwn om bestanden te exfiltreren en upl om bestanden op de computer van het slachtoffer te plaatsen.

SOC-analyse: Deze campagne laat zien dat actoren uit staten vertrouwde zakelijke toepassingen gebruiken als aanhoudende commando- en controle-infrastructuur. Organisaties moeten uitgebreide macrobeveiligingscontroles implementeren en Outlook VBA-activiteiten in bedrijfsomgevingen bewaken.

Meer lezen

Andere verhalen

Android-beveiligingswaarschuwing: Google patcht 120 fouten, waaronder twee zero-days die worden aangevallen

Google heeft in september 2025 Android-beveiligingspatches uitgebracht waarmee 120 kwetsbaarheden worden verholpen, waaronder twee zero-days (CVE-2025-38352 en CVE-2025-48543) die actief worden misbruikt in gerichte aanvallen. Beide kwetsbaarheden maken privilege-escalatie mogelijk zonder interactie van de gebruiker of extra machtigingen.

De Threat Analysis Group van Google ontdekte een fout in de Linux-kernel, wat wijst op mogelijke spywarecampagnes.

SOC-analyse: Organisaties moeten prioriteit geven aan het implementeren van Android-beveiligingspacks voor alle mobiele apparaten binnen het bedrijf en het BYOD-beveiligingsbeleid herzien. Dit benadrukt het belang van het onderhouden van de huidige patchniveaus op mobiele apparaten, vooral voor persoonlijke apparaten die toegang hebben tot bedrijfsbronnen.

Meer lezen

Bedreigers gebruiken HexStrike AI om Citrix-fouten te misbruiken binnen een week na onthulling

Cybercriminelen gebruiken HexStrike AI (een legitieme penetratietesttool) om binnen een week na openbaarmaking automatisch misbruik te maken van Citrix-kwetsbaarheden. De tool integreert met meer dan 150 beveiligingstools en automatiseert de ontdekking van kwetsbaarheden en de ontwikkeling van exploits.

Op darknetforums zijn criminelen te zien die recente Citrix-fouten uitbuiten en kwetsbare NetScaler-instanties verkopen, waardoor de tijd tussen openbaarmaking en uitbuiting korter wordt.

SOC-analyse: Dit incident laat zien hoe beveiligingsautomatiseringsplatforms kunnen worden aangepast voor offensieve doeleinden. Organisaties moeten patchimplementatiecycli verkorten omdat AI-tools de exploitatietijdlijnen versnellen.

Meer lezen

Het CCB waarschuwt voor een lopende campagne waarbij Trojaanse PDF-applicaties worden verspreid

Het CCB waarschuwt organisaties voor een schadelijke campagne waarbij Trojaanse PDF-editors of producthandleidingen worden geleverd. Eenmaal geïnstalleerd kan deze malware referenties stelen en Windows-apparaten in proxies veranderen. Er zijn al verschillende incidenten gemeld en het CCB beschouwt deze campagne als zeer riskant.

SOC-analyse: Deze campagne laat zien dat geraffineerde bedreigingsactoren legitieme bedrijfsvereisten gebruiken als aanvalsvector. Organisaties moeten strikte controles op de installatie van software afdwingen om ongeautoriseerde toepassingen te voorkomen.

Meer lezen