← ब्लॉग पर वापस जाएँ
Security Briefing4 मिनट पढ़ें2026-04-26

सिक्योरिटी ब्रीफिंग, 26 अप्रैल 2026: Teams से पहुँचा Snow malware, ADT का ShinyHunters breach, और LMDeploy की 13-घंटे exploit window

आज का पैटर्न सीधा है: attackers trusted chat, trusted SaaS identity और trusted AI infrastructure का दुरुपयोग उस रफ्तार से कर रहे हैं, जितनी तेजी से ज्यादातर teams patch या verify नहीं कर पातीं।


टॉप लाइन: आज सुबह तीन कहानियाँ तुरंत ध्यान मांगती हैं: Microsoft Teams social-engineering chain जो domain compromise तक जा सकती है, ADT में एक real vishing-to-SaaS breach, और AI-serving SSRF flaw जिसे आधे दिन से भी कम समय में probe किया गया।


1. UNC6692 Microsoft Teams helpdesk trust को पूरी Snow malware chain में बदल रहा है

Google Mandiant के अनुसार UNC6692 email bombing और Microsoft Teams impersonation का उपयोग करके कर्मचारियों को fake anti-spam patch install करवाता है। असल में victim Snow toolset चलाता है: SnowBelt browser extension, SnowGlaze tunneler और SnowBasin Python backdoor। इसके बाद operators LSASS dump करते हैं, lateral movement करते हैं, domain controllers तक पहुँचते हैं और Active Directory material exfiltrate करते हैं। यह सिर्फ एक और phishing email नहीं है; यह internal support जैसा दिखने वाला chat-native intrusion path है।


2. ADT breach की पुष्टि करता है, जबकि ShinyHunters पर Okta-backed employee account को vishing से compromise करने का आरोप है

ADT का कहना है कि attackers ने customers और prospective customers की information चुराई, जिसमें names, phone numbers, addresses और कुछ मामलों में dates of birth तथा SSN या tax ID के last four digits शामिल हैं। ShinyHunters ने BleepingComputer को बताया कि intrusion की शुरुआत एक employee के Okta SSO account पर vishing attack से हुई और फिर Salesforce तक फैल गई। चाहे attacker की हर बात सही हो या नहीं, operational lesson साफ है: जैसे ही trusted SaaS identity गिरती है, connected business platforms पूरा blast radius बन जाते हैं।


3. LMDeploy दिखाता है कि AI exploit window अब घंटों में सिमट रही है

LMDeploy SSRF flaw CVE-2026-33626 कथित रूप से disclosure के 12 घंटे 31 मिनट के भीतर exploit हो गया। Attackers ने vision-language image loader का उपयोग करके AWS metadata, Redis, MySQL, local admin surfaces और external callback endpoint को probe किया। यह इसलिए महत्वपूर्ण है क्योंकि LMDeploy ठीक उसी तरह का LLM-serving component है जिसे teams जल्दी deploy करती हैं और हल्के में review करती हैं। जब advisory root cause और affected code path दे देती है, attackers आपके अगले sprint का इंतजार नहीं करते।


आज security teams को क्या करना चाहिए

  1. Teams-based support workflows को lock down करें और recent remote-assistance events को फिर से verify करें।
  2. अगर आपका environment Okta, Salesforce या ऐसे high-trust connectors पर निर्भर है, तो SaaS identity incident review चलाएँ।
  3. Exposed या reachable AI-serving components की inventory लें और अगली scan wave से पहले LMDeploy patch करें।
  4. आज सुबह tickets नहीं, trust gaps बंद करें।

स्रोत


निष्कर्ष: आज का पैटर्न सीधा है: attackers trusted chat, trusted SaaS identity और trusted AI infrastructure का दुरुपयोग उस रफ्तार से कर रहे हैं, जितनी तेजी से ज्यादातर teams patch या verify नहीं कर पातीं।

Incidents बनने से पहले trust breaks खोजें

KENSAI teams को identity workflows, SaaS platforms, collaboration tools और AI infrastructure में exposed attack paths दिखाने में मदद करता है, इससे पहले कि attackers सामान्य business trust को breach access में बदल दें।

फ्री स्कैन →

सतर्क रहें।

🗡️ KENSAI Security Team