Aanvallen dringen nu binnen via builds, tokens en updates die altijd op groen staan

Er gaat geen alarm af. De statusvelden blijven groen en de softwarebuilds lopen door alsof het een gewone dag is. Tokens worden vernieuwd zoals altijd en niemand ziet iets opvallends.

Op de achtergrond haalt een pipeline een nieuwe extensie binnen, zonder melding of fout. Een klein pakketje dat eruitziet alsof het er altijd al bij hoorde.

Dat extra stukje code beweegt mee met de rest. Eerst in één runner, daarna in meerdere. Het verplaatst door het werk heen alsof het bij de routine hoort.

Tot iemand ziet dat een service verbindingen maakt die nergens zijn ingesteld. Een klein detail dat niet past bij de rest van de dag.

“De grootste risico’s ontstaan precies in de processen die we het meest vertrouwen.”

Leon Smit, General Manager bij Acora

Op dat moment is het geen losstaand incident meer. Het draait al mee in hetzelfde ritme waar iedereen op vertrouwt.

De aanval begint in je keten

In softwareketens vallen veranderingen nauwelijks op. Een update oogt als onderhoud. Een nieuwe dependency lijkt op iets dat al vaker is binnengehaald. Terwijl alles doorloopt, kan precies daar een stukje code meekomen dat niemand verwacht.

Onderzoekers zagen voorbeelden die dat helder laten zien:

• VS Code-extensies die via Open VSX als normale updates werden aangeboden en direct werden geïnstalleerd.
• Honderden gemanipuleerde npm-pakketten die tijdens het bouwen nieuwe bestanden toevoegden en zich verder verspreidden.
• Varianten die bij het uitvoeren van builds GitHub-tokens en CI/CD-geheimen ophaalden en wegschreven naar externe servers (TechRadar)

Voor teams zag alles eruit alsof het klopte. De releases hadden vertrouwde versienummers. De code haalde verbindingen op die niet direct opvielen. Runners voerden stappen uit zoals elke andere dag.

Aanvallen komen zo binnen via tools die mensen gewend zijn te vertrouwen.

Wie deze keten niet actief controleert, ziet afwijkingen vaak pas wanneer ze al meedraaien in het dagelijkse werk.

Identiteit is nu het makkelijkste toegangsvlak

Aanvallers hoeven geen servers meer te hacken. Ze gebruiken accounts die al toegang hebben. Dat zagen onderzoekers bij een incident met SonicWall, waar back-ups met VPN-gegevens en sleutels konden worden ingezien nadat iemand ongezien in een cloudportaal was binnengekomen.

Bij Oracle E-Business Suite misbruikten aanvallers een zwakke inrichting van toegangsrechten. De software draaide, de controles werkten, maar een onopvallende accountovername gaf toegang tot data en systemen die normaal streng beschermd zijn.

In andere campagnes richten aanvallers zich op apparatuur die veel organisaties aan de rand van hun netwerk gebruiken. Bij F5 BIG-IP liep een actor via de BRICKSTORM-backdoor maandenlang mee in het verkeer. De bewegingen leken op normaal gebruik, waardoor monitoring niets zag dat direct afweek.

Identiteit wordt zo het toegangsvlak waar de minste ogen op gericht zijn.

Een account dat maanden geen wachtwoordwijziging heeft gehad, of zich ineens ’s nachts aanmeldt, valt alleen op als er actief naar gekeken wordt.

Misleiding wordt geloofwaardiger dan je beveiliging

Aanvallers richten zich steeds vaker op mensen die niet twijfelen aan wat ze zien.

In verschillende campagnes werd malware verspreid via WhatsApp Web. De berichten leken op gewone gesprekken en de links zagen eruit als documenten die collega’s of klanten vaker sturen. De Water Saci-campagne laat zien hoe één klik zich razendsnel door hele contactlijsten kan bewegen.

Op andere plekken wordt code verstopt in smart contracts op publieke blockchains. Met technieken als EtherHiding komt kwaadaardige code binnen via een link die eruitziet als iets alledaags, terwijl de aansturing gebeurt via infrastructuur die niet eenvoudig uit te schakelen is.

Er circuleren ook nepvacatures voor developers. Een testopdracht of script lijkt op een normale stap in een sollicitatie. Zodra iemand die uitvoert, haalt het systeem code binnen die zich verder door de omgeving beweegt.

Binnen organisaties ontstaat een vergelijkbaar risico door het gebruik van AI-tools. Medewerkers voeren daarmee tekst of code in om sneller te werken, vaak via privéaccounts. In het dreigingsbeeld valt op dat daarbij geregeld gevoelige informatie wordt gedeeld, zoals klantgegevens of interne documenten. Die gegevens komen zo terecht in tools waar geen toezicht op staat.

Gedrag wordt zo een belangrijke factor in moderne aanvallen.

Mensen doen niets verkeerd. De misleiding en de hulpmiddelen lijken simpelweg op het werk dat ze elke dag zien.

Het nieuwe doelwit is je continuïteit

In meerdere aanvallen viel vooral het werk stil. De buitgemaakte data was niet het grootste probleem. Een aanval op Oracle E-Business Suite raakte onderdelen die dagelijks draaien: salarisverwerking, financiële stromen en rapportages. Teams zagen dat vertrouwde functies niet meer reageerden, terwijl er tegelijk gegevens waren meegenomen.

Bij SonicWall konden aanvallers cloudback-ups inzien met configuratiebestanden voor firewalls en VPN’s. Daardoor werd zichtbaar hoe verbindingen precies waren ingericht. Dat raakt direct de beschikbaarheid van systemen waar medewerkers elke dag mee werken.

Kwetsbaarheden in platforms zoals GoAnywhere en SAP-omgevingen laten hetzelfde patroon zien. Zodra er misbruik wordt gemaakt van een onderdeel dat in een workflow is verweven, komt het werk eromheen onder druk te staan.

Daardoor verschuift het doelwit van data naar bedrijfsvoering.

De vraag wordt minder: wat is er buitgemaakt?

En steeds vaker: wat kan er vandaag nog draaien?

AI versnelt de aanvaller, niet de verdediging

Aanvallers nemen nieuwe technieken sneller over dan organisaties kunnen bijhouden.

In recente campagnes werd command-and-control verplaatst naar gedecentraliseerde platforms zoals Solana, Ethereum en BNB Chain. Kwaadwillende code staat verspreid, wordt goedkoop gehost en is lastig uit te schakelen.

Infostealers zoals Rhadamanthys en Vidar kregen varianten die code in afbeeldingen verstoppen, meerdere threads tegelijk gebruiken en plugins automatisch bijwerken. Ze bewegen mee met browserversies en nieuwe opslagmethoden, waardoor klassieke detectie minder houvast heeft.

Bij de campagne Detour Dog kwam malware binnen via gewone DNS-records en kleine SVG-bestanden. Er was geen grote download, geen opvallend bestand. Alleen een reeks kleine stappen die pasten bij normaal webverkeer.

Door dat tempo verschuift de balans:

• Aanvalsinfrastructuur is lastig uit te schakelen.
• Malware past zich sneller aan dan beveiliging kan volgen.
• Distributiekanalen gaan mee in het dagelijkse werk.

Grip houden betekent kunnen zien wat er nu beweegt, niet alleen wat eerder al bekend was.

Vier bouwstenen voor moderne weerbaarheid

In dit dreigingsbeeld zie je vier bouwstenen terugkomen bij organisaties die hun hoofd koel houden.

• SASE zorgt dat medewerkers veilig kunnen werken, of ze nu op kantoor zitten, thuis of onderweg.
• CNAPP geeft zicht op wat er in cloudomgevingen draait, welke workloads kwetsbaar zijn en waar configuraties afwijken.
• ITDR volgt hoe accounts zich gedragen en slaat alarm als inlogpatronen of rechten niet kloppen.
• Continue validatie test doorlopend of beveiligingsmaatregelen in de praktijk nog doen wat ze beloven.

“De enige duurzame oplossing is volwassen security governance.”

Leon Smit, General Manager bij Acora

Een organisatie die weet wie toegang heeft, welke onderdelen draaien en wat daarvan wordt verwacht, houdt overzicht in een IT-landschap dat elke dag verandert.

Direct grip terugpakken

Een aantal concrete stappen helpt om risico’s direct kleiner te maken:

• Ontwikkelrechten en runners kritisch nalopen.
• Secret scanning standaard onderdeel maken van de buildstraat.
• Credentials voor VPN, beheeromgevingen en integraties regelmatig vernieuwen.
• MFA- en SSO-instellingen expliciet toetsen op misbruikscenario’s.
• Inlog- en toegangsdata actief monitoren.
• Gebruik van AI-tools onder duidelijke kaders en tooling brengen.

Deze handelingen brengen in kaart welke onderdelen meebewegen met het dagelijkse werk en waar onnodige toegang bestaat.

Wie zijn keten kent, houdt controle

Aanvallen bewegen mee met de technologie waarmee organisaties werken. Builds, identiteiten, verbindingen en hulpmiddelen veranderen continu.

Wie zicht houdt op wat er in zijn keten draait, welke accounts waar binnenkomen en hoe data zich verplaatst, ziet afwijkingen eerder en houdt regie over het werk dat elke dag door moet gaan.

Wil je sparren over hoe dit er in jouw organisatie uitziet?

Plan een moment met Leon Smit via netherlands@acora.com of via de contactpagina van Acora.