FortiGate क्रेडेंशियल चोरी, KadNap बॉटनेट ने 14,000 राउटर को प्रभावित किया, Microsoft ने 2 Zero-Days पैच किए
1. FortiGate फ़ायरवॉल का AD क्रेडेंशियल चुराने के लिए शोषण
🚨 गंभीर — स्वास्थ्य सेवा & सरकार को लक्षित करने वाला सक्रिय अभियान
खतरनाक तत्व FortiGate Next-Generation Firewall (NGFW) उपकरणों का पीड़ित नेटवर्क में प्रवेश बिंदुओं के रूप में दुरुपयोग कर रहे हैं। यह अभियान स्वास्थ्य सेवा, सरकार और प्रबंधित सेवा प्रदाता वातावरणों को लक्षित करता है, सेवा खाता क्रेडेंशियल और नेटवर्क टोपोलॉजी डेटा वाले कॉन्फ़िगरेशन फ़ाइलों को निकालता है।
SentinelOne के अनुसार, हमलावर हाल ही में प्रकट की गई कमजोरियों — CVE-2025-59718, CVE-2025-59719, और CVE-2026-24858 — या कमजोर क्रेडेंशियल का उपयोग करके FortiGate उपकरणों को समझौता करते हैं। चूंकि ये उपकरण अक्सर भूमिका-आधारित नीति प्रवर्तन के लिए Active Directory और LDAP से जुड़े होते हैं, एक समझौता किया गया उपकरण हमलावरों को पूरी प्रमाणीकरण अवसंरचना की चाबियां सौंप देता है।
एक प्रलेखित घटना में, हमलावरों ने "support" नामक एक धोखाधड़ी वाला स्थानीय व्यवस्थापक खाता बनाया, चार अनुमोदक फ़ायरवॉल नीतियां कॉन्फ़िगर कीं, और बाद में स्पष्ट-पाठ LDAP सेवा खाता क्रेडेंशियल निकालने के लिए कॉन्फ़िगरेशन फ़ाइल को डिक्रिप्ट किया। फिर उन्होंने पता चलने से पहले Active Directory में धोखाधड़ी वाले वर्कस्टेशन पंजीकृत किए।
आवश्यक कार्रवाई: FortiGate उपकरणों को तुरंत नवीनतम फ़र्मवेयर में अपडेट करें। FortiGate से जुड़े सभी सेवा खाता क्रेडेंशियल को बदलें। सभी प्रशासनिक इंटरफेस पर MFA सक्षम करें। अनधिकृत खाता निर्माण और फ़ायरवॉल नीति परिवर्तनों की निगरानी करें।
2. KadNap बॉटनेट ने 14,000+ ASUS राउटर हाईजैक किए
🚨 गंभीर — 14,000+ उपकरण समझौता किए गए, 60% अमेरिका में
KadNap नामक एक नए मैलवेयर ने 14,000+ एज नेटवर्किंग उपकरणों — मुख्य रूप से ASUS राउटर — को एक स्टेल्थ प्रॉक्सी बॉटनेट चलाने के लिए संक्रमित किया है। 60% से अधिक पीड़ित संयुक्त राज्य अमेरिका में हैं।
Lumen में Black Lotus Labs द्वारा खोजा गया, KadNap अपनी कमांड-एंड-कंट्रोल अवसंरचना को पीयर-टू-पीयर नेटवर्क के भीतर छिपाने के लिए Kademlia Distributed Hash Table (DHT) प्रोटोकॉल के एक कस्टम संस्करण का उपयोग करता है, जिससे यह टेकडाउन प्रयासों के खिलाफ अत्यधिक लचीला हो जाता है।
समझौता किए गए उपकरणों को Doppelgänger (Faceless प्रॉक्सी नेटवर्क का रीब्रांड) नामक प्रॉक्सी सेवा में डाला जाता है, जो 50+ देशों में "100% अनाम" रेजिडेंशियल प्रॉक्सी बेचती है। मैलवेयर ARM और MIPS प्रोसेसर को लक्षित करता है, cron jobs के माध्यम से स्थायित्व स्थापित करता है, और उपचार रोकने के लिए पोर्ट 22 पर SSH एक्सेस को सक्रिय रूप से बंद करता है।
| विवरण | जानकारी |
|---|---|
| संक्रमित उपकरण | 14,000+ |
| प्राथमिक लक्ष्य | ASUS राउटर |
| अमेरिकी पीड़ित | 60%+ |
| C2 प्रोटोकॉल | कस्टम Kademlia DHT (P2P) |
| प्रॉक्सी सेवा | Doppelgänger (Faceless रीब्रांड) |
| सक्रिय तब से | अगस्त 2025 |
आवश्यक कार्रवाई: ASUS राउटर फ़र्मवेयर तुरंत अपडेट करें। अनधिकृत cron jobs और अज्ञात प्रक्रियाओं की जांच करें। यदि समझौता हुआ है, तो उपकरण को फ़ैक्टरी-रीसेट करें। ज्ञात C2 IP 212.104.141.140 को ब्लॉक करें।
3. Microsoft मार्च 2026 Patch Tuesday: 2 Zero-Days, 79 कमजोरियां
⚠️ अभी पैच करें — 2 सार्वजनिक रूप से प्रकट Zero-Days
Microsoft के मार्च 2026 Patch Tuesday में 79 सुरक्षा खामियां शामिल हैं, जिनमें 2 सार्वजनिक रूप से प्रकट zero-day कमजोरियां और 3 गंभीर-रेटेड समस्याएं शामिल हैं। दो गंभीर रिमोट कोड निष्पादन बग Microsoft Office को प्रभावित करते हैं और प्रीव्यू पेन के माध्यम से ट्रिगर किए जा सकते हैं।
इस महीने के पैच चक्र से मुख्य हाइलाइट्स:
- SQL Server EoP Zero-Day: अनुचित एक्सेस कंट्रोल नेटवर्क पर SQLAdmin विशेषाधिकार प्रदान करता है
- .NET DoS Zero-Day: आउट-ऑफ-बाउंड्स रीड नेटवर्क पर अनधिकृत सेवा अस्वीकृति की अनुमति देता है
- CVE-2026-26110 & CVE-2026-26113: प्रीव्यू पेन के माध्यम से शोषण योग्य गंभीर Office RCE बग
- CVE-2026-26144: Excel सूचना प्रकटीकरण खामी जो Microsoft Copilot के माध्यम से डेटा निकाल सकती है — AI एजेंट मोड के माध्यम से zero-click डेटा चोरी सक्षम करती है
Copilot से संबंधित कमजोरी (CVE-2026-26144) विशेष रूप से उल्लेखनीय है — यह एक नए हमले वेक्टर का प्रतिनिधित्व करती है जहां AI सहायकों को उपयोगकर्ता इंटरैक्शन के बिना डेटा निकालने के लिए हथियार बनाया जा सकता है। यह AI-सक्षम हमले की सतह का एक पूर्वसंकेत है जिसका संगठन अब सामना करते हैं।
आवश्यक कार्रवाई: सभी मार्च 2026 पैच तुरंत तैनात करें। प्रीव्यू पेन शोषण के कारण Office अपडेट को प्राथमिकता दें। Copilot Agent अनुमतियों की समीक्षा करें और नेटवर्क एग्रेस क्षमताओं को सीमित करें।
4. BlackSanta EDR किलर HR विभागों को लक्षित करता है
⚠️ सक्रिय अभियान — रूसी-भाषी खतरनाक तत्व
एक वर्ष से अधिक समय से चल रहा एक परिष्कृत अभियान रिज्यूमे के रूप में प्रच्छन्न दुर्भावनापूर्ण ISO फ़ाइलों के साथ स्पीयर-फ़िशिंग ईमेल के माध्यम से HR विभागों को एक नया EDR किलर जिसे BlackSanta कहा जाता है वितरित करता है।
हमले की श्रृंखला अत्यधिक भ्रामक है: ISO फ़ाइलों में PDF के रूप में प्रच्छन्न एक Windows शॉर्टकट, एक PowerShell स्क्रिप्ट, और स्टेगनोग्राफ़ी के माध्यम से दुर्भावनापूर्ण कोड छिपाने वाली एक छवि होती है। निकाला गया कोड एक वैध SumatraPDF निष्पादन योग्य के माध्यम से DLL sideloading का उपयोग करता है, व्यापक sandbox और VM पहचान करता है, फिर BlackSanta तैनात करता है।
BlackSanta व्यवस्थित रूप से endpoint पहचान को अक्षम करता है:
.dlsऔर.sysफ़ाइलों के लिए Microsoft Defender अपवाद जोड़कर- Microsoft क्लाउड को टेलीमेट्री और स्वचालित नमूना सबमिशन कम करके
- उपयोगकर्ता को सतर्क करने से बचने के लिए Windows सूचनाएं दबाकर
- वैध प्रक्रियाओं के अंदर payload निष्पादित करने के लिए process hollowing का उपयोग करके
आवश्यक कार्रवाई: HR टीमों को रिज्यूमे-आधारित फ़िशिंग हमलों के बारे में सतर्क करें। ईमेल गेटवे पर ISO फ़ाइल अटैचमेंट ब्लॉक करें। अनधिकृत Defender अपवाद परिवर्तनों की निगरानी करें। एप्लिकेशन allowlisting लागू करें।
5. HPE गंभीर AOS-CX प्रमाणीकरण बायपास
🚨 गंभीर — प्रमाणीकरण के बिना एडमिन पासवर्ड रीसेट
HPE ने CVE-2026-23813 पैच किया है, Aruba Networking AOS-CX ऑपरेटिंग सिस्टम में एक गंभीर प्रमाणीकरण बायपास जो अप्रमाणित रिमोट हमलावरों को CX-सीरीज़ कैम्पस और डेटा सेंटर स्विच पर एडमिनिस्ट्रेटर पासवर्ड रीसेट करने की अनुमति देता है।
कमजोरी वेब-आधारित प्रबंधन इंटरफ़ेस में मौजूद है और शोषण के लिए केवल कम-जटिलता वाले हमलों की आवश्यकता होती है। उजागर प्रबंधन इंटरफेस वाले HPE AOS-CX स्विच चलाने वाला कोई भी संगठन तत्काल जोखिम में है।
पैचिंग में देरी होने पर शमन उपाय:
- प्रबंधन इंटरफेस को एक समर्पित VLAN में अलग करें
- प्रबंधन ट्रैफ़िक के लिए सख्त लेयर 3+ एक्सेस कंट्रोल लागू करें
- जहां आवश्यक न हो वहां SVI और रूटेड पोर्ट पर HTTP(S) इंटरफ़ेस अक्षम करें
- REST/HTTP प्रबंधन एंडपॉइंट पर Control Plane ACL लागू करें
6. APT28 ने यूक्रेनी सेना के खिलाफ BEARDSHELL & COVENANT तैनात किया
रूस का APT28 (Fancy Bear / GRU यूनिट 26165) यूक्रेन के खिलाफ अपना साइबर जासूसी अभियान जारी रखता है, अप्रैल 2024 से यूक्रेनी सैन्य कर्मियों की दीर्घकालिक निगरानी के लिए दो इम्प्लांट — BEARDSHELL और COVENANT — तैनात कर रहा है।
ESET रिपोर्ट करता है कि शस्त्रागार में SLIMAGENT भी शामिल है, जो कीलॉगिंग, स्क्रीनशॉट कैप्चर और क्लिपबोर्ड डेटा संग्रह में सक्षम है। यह अभियान रूस-यूक्रेन संघर्ष के निरंतर साइबर आयाम और सैन्य संचार के लगातार लक्ष्यीकरण को रेखांकित करता है।
7. Zombie ZIP तकनीक सुरक्षा उपकरणों को चकमा देती है
"Zombie ZIP" नामक एक नई तकनीक हमलावरों को विशेष रूप से तैयार की गई संपीड़ित फ़ाइलों में दुर्भावनापूर्ण payload छिपाने की अनुमति देती है जो एंटीवायरस और EDR पहचान को बायपास करती हैं। तकनीक इस अंतर का शोषण करती है कि सुरक्षा उपकरण और वैध आर्काइव सॉफ़्टवेयर ZIP फ़ाइलों को कैसे पार्स करते हैं, अंधे स्थान बनाते हैं जिनसे मैलवेयर गुजर सकता है।
आवश्यक कार्रवाई: सुनिश्चित करें कि सुरक्षा उपकरण नेस्टेड और विकृत आर्काइव प्रारूपों का निरीक्षण कर सकते हैं। अंतिम उपयोगकर्ताओं को वितरण से पहले सभी संपीड़ित फ़ाइल अटैचमेंट को sandbox करने पर विचार करें।
8. CISA: Ivanti EPM खामी सक्रिय शोषण के तहत
CISA ने जंगल में सक्रिय शोषण की पुष्टि के बाद हाल ही में पैच की गई Ivanti Endpoint Manager (EPM) कमजोरी को अपने ज्ञात शोषित कमजोरियों (KEV) कैटलॉग में जोड़ा है। Ivanti EPM चलाने वाले संगठनों को तुरंत पैचिंग को प्राथमिकता देनी चाहिए।
Ivanti कमजोरियों को तेजी से हथियार बनाने का पैटर्न जारी है — यह गंभीर Ivanti खामियों की लंबी श्रृंखला में नवीनतम है जो दिनों के भीतर प्रकटीकरण से शोषण तक पहुंच जाती हैं।
9. BeatBanker Android मैलवेयर Starlink ऐप का रूप धारण करता है
BeatBanker नामक एक नया Android बैंकिंग ट्रोजन नकली Google Play Store वेबसाइटों के माध्यम से वितरित किया जा रहा है, Starlink एप्लिकेशन का रूप धारण करता है। इंस्टॉल होने के बाद, मैलवेयर बैंकिंग क्रेडेंशियल और वित्तीय लेनदेन को इंटरसेप्ट करने के लिए उपकरणों को हाईजैक करता है।
आवश्यक कार्रवाई: केवल आधिकारिक Google Play Store से ऐप इंस्टॉल करें। Google Play Protect सक्षम करें। उपयोगकर्ताओं को नकली ऐप स्टोर के बारे में शिक्षित करें।
10. Windows के लिए Microsoft Entra Passkey समर्थन
एक सकारात्मक नोट पर, Microsoft Windows उपकरणों पर Microsoft Entra के लिए passkey समर्थन रोल आउट कर रहा है, Windows Hello के माध्यम से फ़िशिंग-प्रतिरोधी पासवर्ड-रहित प्रमाणीकरण सक्षम करता है। यह पासवर्ड-आधारित हमलों को समाप्त करने की दिशा में एक महत्वपूर्ण कदम है — संगठनों को Entra passkey तैनाती की योजना बनाना शुरू करना चाहिए।
अन्य शीर्षक
| समाचार | प्रभाव |
|---|---|
| उत्तर कोरियाई UNC4899 ने क्रिप्टो फर्म का उल्लंघन किया | ट्रोजनाइज़्ड AirDrop फ़ाइल + living-off-the-cloud तकनीकें क्रिप्टोकरेंसी में लाखों चुराती हैं |
| Windows 10 KB5078885 ESU जारी | Windows 10 के लिए विस्तारित सुरक्षा अपडेट मार्च Patch Tuesday कमजोरियों को संबोधित करता है जिसमें 2 zero-days शामिल हैं |
| दुर्भावनापूर्ण npm पैकेज OpenClaw का रूप धारण करता है | पैकेज RAT तैनात करता है और macOS क्रेडेंशियल, SSH कुंजियां, क्रिप्टो वॉलेट और iMessage इतिहास चुराता है |
KENSAI आपकी कैसे रक्षा करता है
✅ एज डिवाइस मॉनिटरिंग — हमलावरों के गहराई में जाने से पहले समझौता किए गए FortiGate, ASUS और HPE उपकरणों का पता लगाएं
✅ पैच इंटेलिजेंस — प्रकटीकरण के घंटों के भीतर Microsoft, Ivanti और नेटवर्क अवसंरचना के लिए प्राथमिकता CVE ट्रैकिंग
✅ EDR अखंडता जांच — endpoint सुरक्षा कॉन्फ़िगरेशन में BlackSanta-शैली की छेड़छाड़ की पहचान करें
✅ AI सुरक्षा मुद्रा — CVE-2026-26144 जैसे डेटा निकासी वेक्टर को रोकने के लिए Copilot और AI एजेंट अनुमतियों की निगरानी करें
अनुशंसित कार्रवाइयां
- तत्काल: FortiGate को नवीनतम फ़र्मवेयर में पैच करें। Microsoft मार्च 2026 पैच तैनात करें। HPE AOS-CX स्विच अपडेट करें।
- आज: ASUS राउटर में KadNap संकेतकों की जांच करें। FortiGate से जुड़े सभी सेवा खाता क्रेडेंशियल बदलें। Copilot Agent नेटवर्क एग्रेस सेटिंग्स की समीक्षा करें।
- इस सप्ताह: ईमेल गेटवे पर ISO अटैचमेंट ब्लॉक करें। Ivanti EPM तैनाती का ऑडिट करें। Entra passkey रोलआउट की योजना बनाएं।
- निरंतर: EDR छेड़छाड़ पैटर्न की निगरानी करें। HR टीमों को रिज्यूमे-आधारित फ़िशिंग के बारे में जानकारी दें। नेटवर्क उपकरण प्रबंधन के लिए zero-trust लागू करें।
KENSAI के साथ अपने संगठन की रक्षा करें
AI-संचालित कमजोरी स्कैनिंग और निरंतर सुरक्षा निगरानी। आज ही अपना निःशुल्क स्कैन शुरू करें।
निःशुल्क स्कैन शुरू करें →सुरक्षित रहें। सतर्क रहें।
🗡️ KENSAI सुरक्षा टीम