Kijkje achter de schermen bij het Advantive SOC-team

Bij Advantive hebben we een eigen Security Operations Center (SOC). Maar wat doet zo’n team precies? Hoe werkt het in de praktijk? En wat gebeurt er als er écht iets misgaat?

Op 21 augustus 2025 ontvingen we een malwaremelding bij één van onze klanten. Wat begon als een individuele alert, groeide binnen enkele uren uit tot een grootschalig incident bij meerdere organisaties. De oorzaak was een op het eerste gezicht legitieme PDF-editor, die via een backdoor kwaadaardig gedrag begon te vertonen.

Onze collega Wesley van den Heuvel neemt je mee in wat er achter de schermen gebeurde. Hij legt uit hoe het SOC-team het incident heeft aangepakt, hoe we onze klanten hebben ondersteund en welke lessen organisaties hieruit kunnen trekken om zich beter te beschermen tegen moderne dreigingen zoals infostealers.

Inhoudsopgave

1. Hoe werd de malware ontdekt?

“Op donderdagochtend zagen we via Microsoft Defender XDR een alert binnenkomen bij één klant. Via XDR monitoren we op verdachte activiteiten en dankzij de inzet van Endpoint Detection & Response (EDR) op de werkplekken ontvangen we deze meldingen direct zodra afwijkend gedrag wordt gedetecteerd. In eerste instantie leek het een individuele melding, maar omdat het ging om een Azure Virtual Desktop-host, was de impact potentieel groter. We hebben direct opgeschaald en nauw samengewerkt met de klant en managed services. Kort daarna volgden vergelijkbare meldingen bij andere klanten.”

2. Wat viel op aan het gedrag van deze infostealer?

“In eerste instantie was het nog onduidelijk of we met malware te maken hadden. De meldingen die binnenkwamen, betroffen een PDF-editor die op meerdere werkplekken opdook. We zagen de applicatie vaak terug onder de naam PDF Editor, wat op zichzelf niet direct verdacht was. Toch viel op dat de meldingen toenamen en dat de applicatie zich vreemd gedroeg. Bij nader onderzoek zagen we dat de PDF-editor actief interacteerde met de browser. Dat gedrag paste niet bij een reguliere PDF-tool. Op basis van deze observaties concludeerden we dat het ging om een infostealer.”

3. Wat is een infostealer precies?

“Een infostealer is malware die informatie verzamelt van een geïnfecteerd systeem, zoals wachtwoorden, browserdata, cookies en sessietokens. Deze gegevens worden vaak gebruikt om toegang te krijgen tot accounts of om verdere aanvallen uit te voeren. Infostealers zijn lastig te detecteren omdat ze vaak vermomd zijn als legitieme software en pas na activatie schadelijk gedrag vertonen.”

4. Welke eerste acties hebben jullie genomen?

“We hebben direct een hypothese opgesteld. Vervolgens hebben we de applicatie in een sandbox geplaatst om het gedrag te analyseren. De tool bleek functioneel, maar vertoonde kwaadaardig gedrag.”

5. Hoe is verdere verspreiding voorkomen?

“Na het blokkeren van de update-URL’s hebben we de applicatie geanalyseerd in een sandboxomgeving. De tool bleek functioneel, maar vertoonde afwijkend gedrag. We hebben per klant geïnventariseerd welke apparaten getroffen waren en zijn gestart met forensisch onderzoek. Daarbij ontdekten we dat de applicatie communiceerde met command-and-control domeinen, die we direct hebben geblokkeerd. Later die dag verscheen aanvullende dreigingsinformatie online, gedeeld door malwareonderzoekers. Op basis daarvan konden we gerichter gaan hunten en aanvullende indicatoren vaststellen. Zo konden we verdere interactie voorkomen, waaronder het scrapen van browserinformatie.”

7. Hoe verliep de samenwerking met klanten en interne teams?

“Heel goed. De samenwerking verliep gestructureerd en effectief. We hebben direct onze escalatiematrix gevolgd en het incident geclassificeerd op basis van prioriteit. Klanten werden snel geïnformeerd via hun vaste contactpersonen, en intern hebben we direct de Service Delivery Manager betrokken om de coördinatie te versnellen. Door snel op te schalen en de juiste specialisten aan te haken, konden we adequaat reageren. We werkten volgens de BOB-methode: eerst het beeld vormen, dan oordelen en vervolgens besluiten nemen. Die aanpak hielp om snel overzicht te krijgen, de juiste acties te bepalen en helder te communiceren met alle betrokken partijen.”

8. Welke structurele verbeteringen zijn doorgevoerd?

“We hebben bij klanten relevante indicatoren doorgevoerd om toekomstige detectie te verbeteren. Vanwege de impact op de integriteit van de werkplekken hebben we geadviseerd om getroffen apparaten opnieuw te installeren. Ook hebben we klanten geadviseerd om hun browserinstellingen te controleren en hun wachtwoorden te resetten die zijn opgeslagen in de browser. Deze maatregelen zorgen ervoor dat systemen weer schoon zijn en dat de kans op herhaling wordt verkleind.”

9. Wat zijn de belangrijkste lessen uit dit incident?

“Onze alerting werkte effectief en stelde ons in staat om snel en gericht te reageren op de malware. Een belangrijke les is dat software die vrij beschikbaar is via het internet niet altijd betrouwbaar is. Organisaties moeten daarom kritisch kijken naar hoe applicaties worden aangevraagd, gevalideerd en gedistribueerd. Bij Advantive gebruiken we Microsoft-technologie zoals Microsoft Intune om werkplekken veilig te beheren. In combinatie met XDR en EDR ontstaat een stevige basis om afwijkend gedrag tijdig te detecteren en te blokkeren. Daarnaast is het waardevol om scheduled tasks in Windows actief te monitoren op afwijkende of verdachte patronen, en om applicatiecertificaten vooraf te toetsen aan threat intelligence. Zo kunnen we mogelijk al ingrijpen voordat een applicatie daadwerkelijk op de werkplek wordt geïnstalleerd.”

10. Wat adviseer je organisaties om zich beter te beschermen?

“Infostealers zijn actueel en steeds geavanceerder. Aanvallers richten zich niet alleen op gebruikersaccount, maar benutten ook kwetsbaarheden in de werkplek zelf. Via browserdata, opgeslagen inloginformatie en extensies kunnen ze indirect toegang verkrijgen tot gevoelige informatie, zonder direct de identiteit aan te vallen. Dit zijn onderdelen die lastig te beveiligen zijn. De gevaren liggen vaak in downloads die onschuldig lijken, maar in werkelijkheid schadelijk zijn, zoals nepsoftware en misleidende advertenties. Organisaties moeten hun medewerkers actief ondersteunen in veilig werken via Microsoft training, duidelijke richtlijnen en technische maatregelen. Zorg dat je weet waar je risico’s liggen en bouw je securitymaatregelen daaromheen.”