Twee AiTM-aanvallen, twee uitkomsten: het verschil tussen zicht en toeval

18 augustus 2025

Begin augustus hebben we bij twee klanten afzonderlijk een Adversary-in-the-Middle (AiTM) aanval onderzocht. Hoewel beide incidenten qua methode opvallend veel gelijkenissen vertoonden, verliep het verloop, en vooral de snelheid van detectie, sterk verschillend. De doorslaggevende factor? Het verschil tussen zicht via geavanceerde monitoring en het gebrek daaraan.

Wat is een AiTM-aanval?

Een Adversary-in-the-Middle (AiTM) aanval is een moderne phishingtechniek waarbij aanvallers in real-time de inloggegevens én sessiecookies van gebruikers onderscheppen, zelfs wanneer multi-factor authenticatie (MFA) is ingeschakeld. Dit geeft de aanvaller volledige toegang tot de sessie van een gebruiker, vaak zonder dat het slachtoffer of de organisatie het direct merkt.

Klant 1: snelle detectie dankzij XDR en User Behavior Analytics

Deze klant maakt gebruik van onze volledige SOC-dienstverlening, waar XDR en User Behavior Analytics integraal onderdeel van zijn. Op maandagochtend signaleerde onze SOC dat er verdachte sessies waren aangemaakt vanaf een onbekende locatie, ondanks een ogenschijnlijk legitieme inlog.


Untrusted-melding vanuit gebruikersperspectief
Untrusted-melding vanuit gebruikersperspectief

Met behulp van User Behavior Analytics konden we:

  • Afwijkend gebruikersgedrag direct signaleren
  • Sessies detecteren vanaf ongebruikelijke locaties en apparaten
  • Diverse Indicators of Compromise ophalen

Resultaat: binnen een dag na de initiële aanval detecteerden en isoleerden wij het incident. We beëindigden de sessies, waarschuwden de gebruiker en beperkten de schade tot nagenoeg nul.

Klant 2: detectie pas na zichtbare schade

De tweede klant heeft geen XDR- of gebruikersmonitoring in gebruik. Hier werd de aanval pas opgemerkt toen de IT-afdeling meldde dat er plotseling grote hoeveelheden e-mails werden verstuurd vanuit een gebruikersaccount. Achteraf bleek ook dit een AiTM-aanval, met volledige sessie-overname als gevolg.

Zonder real-time monitoring of gedragsanalyse werd de aanval pas zichtbaar toen de aanvaller al actief was in het mailverkeer. De reactie kwam daardoor te laat om misbruik volledig te voorkomen.

Resultaat: de aanvaller had anderhalve maand toegang tot het gecompommiteerde account met verzonden mails naar honderden ontvangers als gevolg.

MijnHOB Anti-AITM Phishingmodule

Omdat we een sterke toename zien in het aantal AiTM-aanvallen, hebben we onlangs een specifieke AiTM-detectiemodule ontwikkeld. Deze tool herkent patronen die wijzen op sessieovername bij Microsoft 365-accounts en wordt inmiddels kosteloos beschikbaar gesteld aan al onze klanten, ongeacht het dienstpakket.

Onze eigen AiTM-detectiemodule: nu gratis beschikbaar

Maar ook hier geldt een belangrijke kanttekening: “Een losse tool is geen vervanging voor security monitoring met context”.

Zonder integratie en het creëren van het totale plaatje blijft detectie fragmentarisch en vaak te laat. Een AiTM-aanval is geen geïsoleerd incident, het is onderdeel van een breder aanvalspad dat alleen zichtbaar wordt met centrale correlatie, gedragsanalyse en sessie-inzicht.

Maar Microsoft kan dit toch ook detecteren?

Nu hoor ik je denken: “Maar Microsoft kan dit toch ook detecteren?”. Dat klopt, deels. Microsoft beschikt inderdaad over maatregelen die verdachte logins, impossible travel of MFA-bypass signalen kunnen detecteren. Maar: Die signalen moeten wel actief worden gemonitord. En daar zit precies het probleem. Veel organisaties hebben simpelweg niet de tijd, mensen of middelen om deze signalen structureel te analyseren.

Daar komt bij: wat doe je met één verdachte login zonder context? Is dat het enige IoC (Indicator of Compromise)? Of is er sprake van bredere activiteit in netwerk, e-mail, endpoints of identiteiten? Zonder centrale correlatie (zoals in een XDR-platform) blijven die losse puzzelstukjes zonder verder inzicht of context.

Het onderzoek

Onze analisten startten met het analyseren van de inlogdata, sessie-informatie en het gebruikersgedrag vanuit onze centrale XDR omgeving. Vervolgens correleerden ze deze data met IoC’s uit recente AiTM-campagnes. Door gebruikersgedraglogs, endpointactiviteit en e-mailgedrag samen te brengen in één onderzoekspad, konden ze snel uitsluiten dat de aanvaller verder was gekomen dan initiële toegang. De gebruiker werd geïnformeerd en begeleid bij het herstellen van zijn identiteit, en alle sessies werden ongeldig gemaakt.


Risky-user melding binnen ons SOC
Risky-user melding binnen ons SOC

IoC’s gedeeld via onze threat intel-database

De indicators of compromise (IoC’s) die we tijdens dit onderzoek hebben vastgesteld, zijn direct toegevoegd aan onze interne threat intelligence database (MISP-server). Hierdoor profiteren al onze klanten automatisch van deze inzichten, nieuwe aanvallen die dezelfde infrastructuur of technieken gebruiken, kunnen zo preventief worden geblokkeerd of sneller worden gedetecteerd.


Correlatie van de verschillende incidenten, vanuit meerdere verschillende bronnen, in één helder overzicht.
Correlatie van de verschillende incidenten, vanuit meerdere verschillende bronnen, in één helder overzicht.

Threat intelligence werkt pas echt als je het ook toepast.

Wil je zien hoe wij IoC’s real-time koppelen aan jouw omgeving? Vraag een demo aan van onze XDR-omgeving, wij laten je live zien hoe je niet alleen je eigen organisatie beschermt, maar ook bijdraagt aan de veiligheid van het collectief.

Demo XDR aanvragen

Conclusie: preventie is goed, inzicht is essentieel

Je kunt MFA hebben, je medewerkers trainen, Microsoft-signalen ontvangen en losse tools inzetten, en tóch slachtoffer worden van AiTM-aanvallen. Het verschil zit in hoe snel je het opmerkt.

De sleutel? Inzicht. En dat krijg je alleen met geïntegreerde, context-rijke security monitoring.

Wil je meer weten over onze AiTM-detectiemodule of MDR-dienstverlening? Neem gerust contact met ons op. We laten je graag zien hoe je wél grip houdt op dit type aanvallen.

Plan een gesprek

Van detectie tot collectieve bescherming

Om inzichtelijk te maken hoe onze aanpak werkt, hebben we hieronder het proces visueel uitgewerkt zoals bij klant 1.

Initiële melding in het SOC

Verdachte sessie opgemerkt via XDR & User Behaviour Analytics

Analyse door SOC-analisten

Inloggedrag, sessie-informatie en endpoints onderzocht. IOC’s (zoals IP’s, URL’s, user agents) in kaart gebracht

Informeren klant en direct ingrijpen

Na vaststellen daadwerkelijke aanval direct de klant geinformeerd. Sessies van gebruiker direct allemaal verwijderd, MFA reset én wachtwoord reset uitgevoerd.

IOC’s verrijkt en gevalideerd

Vergeleken met bestaande threat intel. Herkenning van infrastructuur uit andere AitM-campagnes.

IOC’s gedeeld via interne MISP-server

Direct gesynchroniseerd met monitoring bij andere klanten. Nieuwe detectieregels automatisch toegepast.

Preventieve bescherming voor alle klanten

De IOC’s signaleren vergelijkbare aanvallen vroegtijdig bij andere klanten, ook als zij nog geen doelwit zijn. Dit leidt tot snelle en effectieve response.