Teams फ़िशिंग से A0Backdoor तैनात, Signal हाइजैकिंग अभियान, Salesforce Aura पर हमला
1. Microsoft Teams फ़िशिंग से A0Backdoor मालवेयर तैनात
🚨 गंभीर — वित्त और स्वास्थ्य सेवा को लक्षित करता सक्रिय अभियान
ख़तरनाक कर्ता वित्तीय और स्वास्थ्य सेवा क्षेत्रों के कर्मचारियों को लक्षित करने के लिए Microsoft Teams संदेशों का उपयोग कर रहे हैं। Teams पर संपर्क स्थापित करने के बाद, हमलावर पीड़ितों को Quick Assist — एक वैध Windows रिमोट सपोर्ट टूल — के माध्यम से दूरस्थ पहुँच प्रदान करने के लिए मना लेते हैं। कनेक्ट होने के बाद, वे A0Backdoor नामक एक पूर्व-अज्ञात बैकडोर तैनात करते हैं।
हमले की श्रृंखला अपनी सोशल इंजीनियरिंग की परिष्कृतता के लिए उल्लेखनीय है — हमलावर IT सपोर्ट कर्मियों की नक़ल करते हैं और कथित सुरक्षा समस्याओं के बारे में तात्कालिकता पैदा करते हैं। A0Backdoor स्थायी पहुँच, क्रेडेंशियल संग्रहण और लेटरल मूवमेंट की क्षमता प्रदान करता है।
आवश्यक कार्रवाई: Group Policy के माध्यम से Quick Assist का उपयोग प्रतिबंधित करें। कर्मचारियों को अनचाहे Teams सपोर्ट अनुरोधों के बारे में शिक्षित करें। असामान्य रिमोट एक्सेस टूल गतिविधि की निगरानी करें।
2. Google: क्लाउड हमले क्रेडेंशियल से कमज़ोरी शोषण की ओर बढ़ रहे हैं
Google की नवीनतम ख़तरा खुफ़िया रिपोर्ट क्लाउड हमले की रणनीतियों में एक महत्वपूर्ण बदलाव को उजागर करती है। हैकर्स अब प्रारंभिक क्लाउड पहुँच के लिए कमज़ोर या चोरी किए गए क्रेडेंशियल पर निर्भर रहने के बजाय तीसरे पक्ष के सॉफ़्टवेयर में नई प्रकट कमज़ोरियों का शोषण कर रहे हैं।
सबसे चिंताजनक खोज: कमज़ोरी प्रकटीकरण और सक्रिय शोषण के बीच का समय सप्ताहों से घटकर कुछ दिनों, कभी-कभी घंटों तक सिमट गया है। यह सुरक्षा टीमों पर तुरंत पैच करने का भारी दबाव डालता है।
| मापदंड | पहले | वर्तमान |
|---|---|---|
| शोषण तक का औसत समय | 2–4 सप्ताह | 1–3 दिन |
| शीर्ष प्रारंभिक पहुँच वेक्टर | चोरी किए गए क्रेडेंशियल | कमज़ोरी शोषण |
| तृतीय-पक्ष सॉफ़्टवेयर की भागीदारी | मध्यम | प्राथमिक लक्ष्य |
3. रूसी GRU हैकर्स Signal और WhatsApp अकाउंट हाइजैक कर रहे हैं
🚨 राज्य-प्रायोजित — नीदरलैंड सरकार की चेतावनी
नीदरलैंड सरकार ने GRU (रूसी सैन्य खुफ़िया) से जुड़े एक चल रहे रूसी राज्य-प्रायोजित फ़िशिंग अभियान के बारे में औपचारिक चेतावनी जारी की है। यह अभियान सरकारी अधिकारियों, सैन्य कर्मियों और पत्रकारों को लक्षित करता है, उनके Signal और WhatsApp अकाउंट हाइजैक करने का प्रयास करता है।
हमलावर परिष्कृत सोशल इंजीनियरिंग का उपयोग करके लक्ष्यों को अपने मैसेजिंग अकाउंट को हमलावर-नियंत्रित उपकरणों से जोड़ने के लिए धोखा देते हैं। एक बार समझौता हो जाने पर, कर्ताओं को एन्क्रिप्टेड बातचीत, संपर्कों और साझा मीडिया तक पूर्ण पहुँच मिल जाती है।
आवश्यक कार्रवाई: Signal और WhatsApp सेटिंग्स में जुड़े हुए उपकरणों की समीक्षा करें। Signal पर पंजीकरण लॉक सक्षम करें। उच्च-मूल्य कर्मियों को इस विशिष्ट ख़तरे के बारे में सूचित करें।
4. Ericsson US डेटा उल्लंघन
Ericsson की अमेरिकी सहायक कंपनी ने एक तृतीय-पक्ष सेवा प्रदाता की समझौता के परिणामस्वरूप एक डेटा उल्लंघन का खुलासा किया है। कर्मचारी और ग्राहक डेटा चोरी किया गया, जिसमें व्यक्तिगत पहचान योग्य जानकारी शामिल है।
यह घटना आपूर्ति श्रृंखला हमलों के निरंतर जोखिम को उजागर करती है — भले ही आपकी अपनी सुरक्षा मज़बूत हो, विक्रेता और सेवा प्रदाता कमज़ोर कड़ी बन सकते हैं।
5. ShinyHunters Salesforce Aura कमज़ोरी का शोषण कर रहे हैं
⚠️ सक्रिय शोषण — Salesforce Experience Cloud
कुख्यात जबरन वसूली गिरोह ShinyHunters ग़लत कॉन्फ़िगर की गई इंस्टेंस से डेटा चोरी करने के लिए Salesforce Experience Cloud (Aura फ़्रेमवर्क) में एक नई बग का सक्रिय रूप से शोषण कर रहा है। उजागर Salesforce Experience Cloud साइट वाले संगठन तत्काल जोखिम में हैं।
ShinyHunters का बड़े पैमाने पर डेटा उल्लंघनों का ट्रैक रिकॉर्ड है और वे आम तौर पर चोरी किए गए डेटा को लीक करने की धमकी देकर पीड़ितों से जबरन वसूली करते हैं। Salesforce Aura कमज़ोरी ग़लत कॉन्फ़िगर की गई इंस्टेंस में संवेदनशील रिकॉर्ड तक अनधिकृत पहुँच प्रदान करती है।
आवश्यक कार्रवाई: तुरंत Salesforce Experience Cloud कॉन्फ़िगरेशन की जाँच करें। अतिथि उपयोगकर्ता अनुमतियों की समीक्षा करें। अप्रत्याशित डेटा पहुँच पैटर्न की जाँच करें।
6. दुर्भावनापूर्ण npm पैकेज OpenClaw की नक़ल करता है
@openclaw-ai/openclawai नामक एक दुर्भावनापूर्ण npm पैकेज की खोज की गई है जो एक वैध इंस्टॉलर की नक़ल करता है। यह पैकेज एक Remote Access Trojan (RAT) तैनात करता है और macOS सिस्टम से संवेदनशील डेटा चोरी करता है, जिसमें शामिल हैं:
- सिस्टम क्रेडेंशियल और Keychain डेटा
- ब्राउज़र कुकीज़ और सहेजे गए पासवर्ड
- क्रिप्टोकरेंसी वॉलेट फ़ाइलें
- SSH कुंजियाँ और कॉन्फ़िगरेशन
- iMessage इतिहास
इस पैकेज ने पता लगने से पहले 178 डाउनलोड जमा किए। यह पैकेज मैनेजरों में विश्वास का शोषण करने वाला एक क्लासिक आपूर्ति श्रृंखला हमला है।
7. उत्तर कोरियाई UNC4899 ने क्रिप्टो फ़र्म का उल्लंघन किया
Google के Mandiant ने एक क्रिप्टो फ़र्म के उल्लंघन को UNC4899 (जिसे TraderTraitor भी कहा जाता है) से जोड़ा है, जो एक उत्तर कोरियाई ख़तरा समूह है। हमलावरों ने एक ट्रोजनाइज़्ड AirDrop फ़ाइल के माध्यम से लक्ष्य को समझौता किया, फिर living-off-the-cloud तकनीकों का उपयोग करके क्लाउड इन्फ़्रास्ट्रक्चर में प्रवेश किया — वैध क्लाउड सेवाओं का दुरुपयोग करके सामान्य गतिविधि में घुल-मिल गए।
यह उत्तर कोरियाई साइबर ऑपरेशनों में एक विकास को दर्शाता है, जो क्लाउड-नेटिव हमले की तकनीकों में बढ़ती परिष्कृतता को प्रदर्शित करता है।
8. स्वामित्व हस्तांतरण के बाद Chrome एक्सटेंशन दुर्भावनापूर्ण बने
दो Chrome एक्सटेंशन नए डेवलपर्स को स्वामित्व हस्तांतरित होने के बाद दुर्भावनापूर्ण पाए गए। नए मालिकों ने ऐसे अपडेट जारी किए जो कोड इंजेक्शन और डेटा चोरी को सक्षम करते थे, जिससे ऑटो-अपडेट सक्षम एक्सटेंशन वाले उपयोगकर्ता प्रभावित हुए।
आवश्यक कार्रवाई: अपने संगठन में ब्राउज़र एक्सटेंशन की जाँच करें। एक्सटेंशन अनुमति सूची लागू करें। अप्रत्याशित एक्सटेंशन अपडेट की निगरानी करें।
9. Cisco Catalyst SD-WAN CVE-2026-20127 पर व्यापक हमला
🚨 गंभीर CVE — सक्रिय व्यापक शोषण
Cisco Catalyst SD-WAN (CVE-2026-20127) में एक गंभीर कमज़ोरी अब कई IP पतों से व्यापक रूप से शोषित हो रही है। प्रभावित Cisco SD-WAN इन्फ़्रास्ट्रक्चर चलाने वाले संगठनों को तुरंत पैच करना चाहिए या शमन उपाय लागू करने चाहिए।
आवश्यक कार्रवाई: Cisco की सुरक्षा सलाह के पैच तुरंत लागू करें। यदि पैचिंग संभव नहीं है, तो अनुशंसित वर्कअराउंड लागू करें और समझौता संकेतकों की निगरानी करें।
10. ClickFix हमला Windows Terminal के साथ विकसित होता है
ClickFix सोशल इंजीनियरिंग तकनीक विकसित हो गई है। हमलावर अब नक़ली CAPTCHA पृष्ठों का उपयोग करते हैं जो पीड़ितों को पारंपरिक रन डायलॉग के बजाय Windows Terminal में दुर्भावनापूर्ण कमांड पेस्ट करने का निर्देश देते हैं। यह बचाव तकनीक रन डायलॉग की निगरानी करने वाले कई सुरक्षा नियंत्रणों को बायपास करती है।
Windows Terminal पर यह बदलाव महत्वपूर्ण है क्योंकि यह एक अधिक शक्तिशाली निष्पादन वातावरण प्रदान करता है और लेगेसी एंडपॉइंट डिटेक्शन टूल्स द्वारा मॉनिटर नहीं किया जा सकता।
11. और समाचार
| समाचार | प्रभाव |
|---|---|
| FBI निगरानी प्रणाली उल्लंघन की जाँच कर रहा है | FBI संवेदनशील निगरानी जानकारी वाली प्रणाली पर संदिग्ध साइबर गतिविधि की जाँच कर रहा है |
| CISA ने iOS कमज़ोरियों को KEV में जोड़ा | Coruna एक्सप्लॉइट किट iOS 13–17.2.1 में 23 कमज़ोरियों को लक्षित करती है; राष्ट्र-राज्य स्तर |
| अमेरिकी साइबर रणनीति अपडेट | नई रणनीति प्रतिद्वंद्वियों, महत्वपूर्ण बुनियादी ढाँचे की सुरक्षा और AI/पोस्ट-क्वांटम क्रिप्टोग्राफी को लक्षित करती है |
KENSAI आपकी कैसे रक्षा करता है
✅ रीयल-टाइम CVE निगरानी — CVE-2026-20127 और सभी गंभीर कमज़ोरियों को प्रकटीकरण के घंटों के भीतर ट्रैक किया जाता है
✅ आपूर्ति श्रृंखला विश्लेषण — नक़ली OpenClaw npm इंस्टॉलर जैसे दुर्भावनापूर्ण पैकेजों का पता लगाना
✅ क्लाउड कॉन्फ़िगरेशन ऑडिट — ShinyHunters से पहले Salesforce की ग़लत कॉन्फ़िगरेशन की पहचान
✅ निरंतर अटैक सरफ़ेस प्रबंधन — सभी वेक्टरों में आपके एक्सपोज़र की निगरानी
अनुशंसित कार्रवाई
- तुरंत: Cisco SD-WAN CVE-2026-20127 पैच करें। Group Policy के माध्यम से Quick Assist प्रतिबंधित करें।
- आज: Salesforce Experience Cloud कॉन्फ़िगरेशन की जाँच करें। Signal/WhatsApp में जुड़े हुए उपकरणों की समीक्षा करें।
- इस सप्ताह: संगठन भर में ब्राउज़र एक्सटेंशन की जाँच करें। दुर्भावनापूर्ण पैकेजों के लिए npm निर्भरताओं की समीक्षा करें।
- निरंतर: निरंतर कमज़ोरी प्रबंधन लागू करें। कर्मचारियों को Teams फ़िशिंग और ClickFix तकनीकों के बारे में प्रशिक्षित करें।
KENSAI के साथ अपने संगठन की रक्षा करें
AI-संचालित कमज़ोरी स्कैनिंग और निरंतर सुरक्षा निगरानी। आज ही अपना मुफ़्त स्कैन शुरू करें।
मुफ़्त स्कैन शुरू करें →सुरक्षित रहें। सतर्क रहें।
🗡️ KENSAI सुरक्षा टीम