1. Lotus Panda slaat toe bij oosterse overheden met browser-hacks en ingeladen DLL-bestanden, via escurityplanet.com, 22 april 2025
De Chinese groep onder de naam Lotus Panda (maar ook Billbug, Bronze Elgin, Spring Dragon, Thrip) kan via legitieme antivirusprogramma's bepaalde DLL's "inladen" die vervelende acties uitvoeren, waaronder een SSH-connectie open zetten zodat "zij" remote op je pc kunnen inloggen. Via Chrome tools kan deze organisatie login-details en cookies van je onderscheppen. En ook de opgeslagen gebruikersnamen en wachtwoorden. In dit blog wordt ook nog verwezen naar een handige pagina, namelijk de Protection Bulletins van Symantec. Schijnbaar is dat een onderdeel van broadcom.com? Om in de gaten te houden welke beveiligingsrisico's er zijn, is het niet verkeerd om deze pagina in de gaten te houden.
2. E-mail die van Google afkomstig lijkt te zijn is een phishing mail, via techrepublic.com, 22 april 2025
Het artikel komt van bleepingcomputer, de thread van de persoon die het ontdekt en gedeeld heeft staat hier. Het komt erop neer dat je bij google een website kunt plaatsen via sites.google.com. De hacker heeft het voor elkaar gekregen om aan een applicatie op dat domein een e-mailadres te koppelen, waardoor de phishingmail die anders (als het goed is!) geblokkeerd zou zijn door Google (of in de SPAM map zou belanden) nu wel in de inbox van iemand kon komen.
3. Via Zoom remote access wordt je crypto wallet geleegd, via bleepingcomputer.com, 22 april 2025
Bij Zoom kun je andere(n) toegang geven tot jouw systeem. Een hacker groep, Elusive Comet, doet zich via X voor als crypto-journalisten die mensen willen interviewen. Tijdens het online "interview" start de hacker een screen-sharing sessie op en daarmee ook een remote control verzoek. Je zou zeggen: dat ga je weigeren. Maar... de "interviewer" heeft zijn gebruikersnaam "Zoom" gegeven, dus de melding die je krijgt is: Zoom is requesting remote control of your screen. Dat klinkt als een systeemmelding en 9 van de 10 personen zullen hier automatisch op klikken omdat "programma's wel vaker met pop-ups komen". En dan ben je dus de sjaak...
4. Google gaat mogelijk toch "gewoon" 3rd-party cookies ondersteunen, via arstechnica.com, 22 april 2025
In 2019 is Google gestart met een project om te kijken of er zaken qua privacy voor gebruikers beter te maken was. Een onderdeel hiervan was dat "3rd party cookies" niet meer ondersteund zouden worden. Omdat voor veel websites die 3rd party cookies belangrijk waren werden er al voorbereidingen door andere partijen gestart om bijvoorbeeld bepaalde "cookies" serverside uit te laten voeren. Maar, in een recente verklaring van Google lijkt het erop dat dit afgeblazen wordt en dat 3rd party cookies dus gewoon blijven werken.
5. CISO "Secure by Design" initiatief lijkt dood te bloeden, via cybersecuritydive.com, 22 april 2025
CISO staat voor Cybersecurity & Instrastructure Security Agency, deze organisatie van de overheid had een project, Security by Design, om bedrijven te motiveren om "veilige software" te bouwen. Dus MFA ondersteuning, security patching. Dit werd gestart in het Biden-tijdperk. Er kwamen al klachten van bedrijven dat het "teveel bemoeienis met development" was, Trump wil "alleen maar geld verdienen", dus security heeft bij hem geen prio. Er zijn nu een aantal mensen opgestapt uit dit project, dus het lijkt erop dat dit onderdeel gaat stoppen. Dat mag/moet softwarebedrijven niet tegenhouden om alsnog "secure by design" code te maken. En ook gebruik te maken van de resources die er nu al zijn. Secure by Design door Google, de handleiding van CISA, aanvullend materiaal van CISA.
6. Misbruik van Cloudflare om malware te verspreiden, via blog.sekoia.io, 22 april 2025
Bij het Protection Bulletin van Symantec van punt 1 zag ik ergens Cloudflare en RAT genoemd worden. Je denkt dan aan een knaagdier, maar het gaat hier om Remote Access Trojans. Het voorbeeld is uitgebreid uitgewerkt, het komt erop neer dat je een e-mail met een link als bijlage krijgt. Door daarop te dubbelklikken lijk je een PDF te openen. Dit is echter een link naar een batchbestand, waarbij Powershell en Python geïnstalleerd worden en "bad scripts" uitgevoerd worden. Zaken die via cloudflare URL's binnengehaald worden. Ook op de site van Fortinet is er een blog over te lezen.
7. Russische host Proton66 is een eldorado voor hackers en ander gespuis, via esecurityplanet.com, 21 april 2025
In dit blog kun je lezen wat voor narigheid er allemaal verspreid / geprobeerd wordt. Zelfs als je infrastructuur veilig is, kun je het beste de voordeur (en achterdeur) voor dit type bezoekers gesloten houden. Dus zet deze IP-adressen op je blacklist:
Proton66 ASN (AS198953)
- 45.134.26.0/24
- 45.135.232.0/24
- 45.140.17.0/24
- 91.212.166.0/24
- 193.143.1.0/24
Chang Way Technologies ASN
- 45.93.20.0/24
- 91.240.118.0/24
- 185.11.61.0/24
8. SuperCard X, malware op je Android telefoon die je creditcards NFC data steelt, via bleepingcomputer.com, 19 april 2025
De ellende begint met een SMS of WhatApp bericht van "je bank". Je krijgt de vraag om een nummer te bellen. Na het ontfrutselen van je rekeningnummer, PIN-code en het installeren van een app, het scannen van de chip van je creditkaart (of bankpas) kan de "hacker" vervolgens je bankrekening(en) leeg halen.
9. SonicWall SMA device bevat een vulnerability, via thehackernews.com, 17 april 2025
Met een SonicWall device kan een bedrijf haar werknemers vanaf elke locatie toegang geven tot het bedrijfsnetwerk. Maar daar zaten wat veiligheidsgaten in. Zo wordt het issue genoemd dat inlog admin@Localdomain het standaard wachtwoord "password" had. Naast het feit dat je die dingen zo snel mogelijk moet patchen naar de meest recente veilige versie moet je dus ook zorgen dat wachtwoorden "veilig" zijn.
x. Stap over naar Windows 11
Oktober 2025 eindigt de ondersteuning van Microsoft voor Windows 10. Om bij te blijven qua updates en security (als je mijn securityzaken-blogs volgt weet je dat het heel onverstandig is om onbeveiligd online te zijn) is het dus aan te raden om je systeem te updaten naar Windows 11. Daar zijn verschillende kanalen voor. Ik ga proberen om hier een aantal acties te delen. De eerste die ik tegenkwam is van TechRepublic. Daar vind ik vaak IT en security-gerelateerd materiaal, TechRepublic heeft nu een aanbieding om te updaten voor 15 dollar. Dit is het artikel, dit is de pagina om de aankoop uit te voeren (betaling via Paypal).