剣 KENSAI
← Back to archive

दैनिक खतरा ब्रीफिंग

2026-03-17 · मंगलवार · 04:00 CET
स्वचालित 24 घंटे सुरक्षा परिदृश्य विश्लेषण
4
उल्लंघन
3
गंभीर CVE
2
APT अभियान
3
नए टूल्स

⚡ संक्षेप — आज क्या महत्वपूर्ण है

  • Stryker वाइपर हमला: ईरान से जुड़े Handala ने Intune रिमोट वाइप का उपयोग करके ~80K डिवाइस मिटाए — किसी मैलवेयर की जरूरत नहीं, बस एक चुराया हुआ Global Admin खाता
  • GlassWorm सप्लाई-चेन वृद्धि: चुराए गए GitHub टोकन का उपयोग करके सैकड़ों Python रिपॉजिटरी में मैलवेयर फोर्स-पुश किया गया (Django, ML, PyPI पैकेज)
  • Chrome 0-day पैच: CVE-2026-3909 (Skia) और CVE-2026-3910 (V8) सक्रिय रूप से शोषित — तुरंत अपडेट करें
  • Oracle EBS उल्लंघन: केवल 4 बड़ी कंपनियां (Broadcom, Bechtel, Estée Lauder, Abbott) अभी भी प्रभाव पर चुप हैं
  • DRILLAPP बैकडोर: रूस से जुड़े हमलावर Edge ब्राउज़र डीबगिंग के माध्यम से यूक्रेन को निशाना बना रहे हैं — माइक्रोफोन और वेबकैम एक्सेस
  • Betterleaks लॉन्च: Gitleaks के निर्माता द्वारा नया ओपन-सोर्स सीक्रेट्स स्कैनर — तेज, स्मार्ट, MIT लाइसेंस

🔓 उल्लंघन और घटनाएं

Stryker: ईरान से जुड़ा वाइपर हमला ~80,000 डिवाइसों पर

📅 16 मार्च 🏢 Stryker (MedTech) 🌍 वैश्विक

Handala हैक्टिविस्ट समूह (ईरान से जुड़ा) ने एक Stryker एडमिन खाते को भेद लिया, Microsoft Entra ID में एक नया Global Administrator बनाया, और Intune के रिमोट वाइप कमांड का उपयोग करके 11 मार्च को सुबह 5:00–8:00 AM UTC के बीच ~80,000 डिवाइस मिटा दिए। कोई मैलवेयर तैनात नहीं किया गया — हमलावरों ने वैध MDM क्षमताओं को हथियार बनाया। कॉर्पोरेट नेटवर्क में नामांकित BYOD डिवाइसों से कुछ कर्मचारियों का व्यक्तिगत डेटा खो गया। इलेक्ट्रॉनिक ऑर्डरिंग सिस्टम अभी भी ऑफलाइन हैं; चिकित्सा उपकरण सुरक्षित पुष्टि किए गए हैं। Microsoft DART और Palo Alto Unit 42 जांच कर रहे हैं।

KENSAI दृष्टिकोण: यह हमला एक गंभीर अंधे बिंदु को उजागर करता है — Intune जैसे MDM प्लेटफॉर्म को बिना मैलवेयर के विनाश के लिए हथियार बनाया जा सकता है। NIS2 अनुच्छेद 21 सप्लाई चेन और एडमिन एक्सेस नियंत्रण की आवश्यकता रखता है। संगठनों को सभी Global Admin खातों पर फिशिंग-प्रतिरोधी MFA लागू करना चाहिए और ब्रेक-ग्लास खाता निगरानी लागू करनी चाहिए।
गंभीर वाइपर MDM दुरुपयोग ईरान

Oracle EBS उल्लंघन: 4 बड़ी कंपनियां अभी भी चुप

📅 16 मार्च 🏢 Broadcom, Bechtel, Estée Lauder, Abbott

Oracle E-Business Suite उल्लंघन लगातार सामने आ रहा है। Broadcom, Bechtel, Estée Lauder, और Abbott Technologies एकमात्र बड़ी कंपनियां हैं जिन्होंने अभी तक संभावित प्रभाव के बारे में सार्वजनिक बयान जारी नहीं किया है। प्रारंभिक भेदन वेक्टर और दायरे का विवरण गोपनीय बना हुआ है क्योंकि जांच जारी है।

उच्च ERP डेटा उल्लंघन

Starbucks कर्मचारी डेटा उल्लंघन फिशिंग के माध्यम से

📅 16 मार्च 🏢 Starbucks

Starbucks ने एक डेटा उल्लंघन की पुष्टि की जिसमें सैकड़ों कर्मचारी प्रभावित हुए, जब फिशिंग हमलों ने एक कर्मचारी पोर्टल को निशाना बनाया। कर्मचारियों की व्यक्तिगत जानकारी से समझौता किया गया। यह घटना आंतरिक HR सिस्टम पर क्रेडेंशियल-आधारित हमलों के जारी जोखिमों को उजागर करती है।

उच्च फिशिंग कर्मचारी डेटा

Loblaw ग्राहक डेटा उल्लंघन

📅 16 मार्च 🏢 Loblaw Companies 🌍 कनाडा

कनाडा की खुदरा दिग्गज Loblaw ने खुलासा किया कि हैकर्स ने ग्राहक PII तक पहुंच बनाई जिसमें नाम, ईमेल पते और फोन नंबर शामिल हैं। उल्लंघन का दायरा और हमले का वेक्टर पूरी तरह से प्रकट नहीं किया गया है।

मध्यम खुदरा PII

UK Companies House सुरक्षा दोष ने अक्टूबर 2025 से व्यापार डेटा उजागर किया

📅 16 मार्च 🏢 UK Companies House 🌍 यूनाइटेड किंगडम

ब्रिटेन की सरकारी एजेंसी की WebFiling सेवा शुक्रवार को ऑफलाइन कर दी गई जब एक सुरक्षा दोष का पता चला जो अक्टूबर 2025 से कंपनी की जानकारी को उजागर कर रहा था — लगभग 5 महीने का अनपता एक्सपोजर। फिक्स लागू करने के बाद सेवा अब फिर से ऑनलाइन है।

उच्च सरकार डेटा एक्सपोजर

🛡️ गंभीर कमजोरियां

Chrome 0-Day: CVE-2026-3909 और CVE-2026-3910 (सक्रिय रूप से शोषित)

📅 16 मार्च ⚠️ CVSS: उच्च 🔴 जंगल में शोषित

CVE-2026-3909: Skia 2D ग्राफिक्स लाइब्रेरी में आउट-ऑफ-बाउंड्स राइट। CVE-2026-3910: V8 JavaScript/WebAssembly इंजन में अनुचित कार्यान्वयन जिससे OOB एक्सेस होता है। दोनों सक्रिय रूप से शोषित हो रहे हैं। Google ने पैच जारी किए हैं — Chrome तुरंत अपडेट करें।

KENSAI दृष्टिकोण: ब्राउज़र कमजोरियां क्लाइंट-साइड हमले का #1 वेक्टर बनी हुई हैं। KENSAI की DAST स्कैनिंग हेडर विश्लेषण और वर्शन डिटेक्शन के माध्यम से सत्यापित कर सकती है कि संगठन ब्राउज़र अपडेट नीतियां लागू कर रहे हैं।
गंभीर 0-Day Chrome सक्रिय शोषण

Wing FTP Server — CISA ने सक्रिय शोषण चिह्नित किया

📅 16 मार्च ⚠️ KEV सूचीबद्ध 🔴 जंगल में शोषित

CISA ने Wing FTP Server की एक कमजोरी को अपनी ज्ञात शोषित कमजोरियों की सूची में जोड़ा है, चेतावनी देते हुए कि इसे रिमोट कोड एक्जीक्यूशन के लिए अन्य दोषों के साथ चेन किया जा रहा है। संघीय एजेंसियों को BOD 22-01 की समय सीमा के अनुसार पैच करना होगा।

गंभीर RCE CISA KEV

HPE AOS-CX: बिना प्रमाणीकरण एडमिन पासवर्ड रीसेट

📅 16 मार्च ⚠️ CVSS: गंभीर

HPE Aruba AOS-CX नेटवर्क स्विचों में एक गंभीर कमजोरी दूरस्थ, अप्रमाणित हमलावरों को एडमिनिस्ट्रेटर पासवर्ड रीसेट करने की अनुमति देती है, मौजूदा प्रमाणीकरण नियंत्रणों को पूरी तरह बायपास करते हुए। तुरंत पैच करें — यह कोर नेटवर्क इन्फ्रास्ट्रक्चर को प्रभावित करता है।

गंभीर नेटवर्क इन्फ्रास्ट्रक्चर Auth Bypass

n8n वर्कफ्लो ऑटोमेशन दोष शोषित

📅 16 मार्च 🔴 जंगल में शोषित

लोकप्रिय n8n वर्कफ्लो ऑटोमेशन प्लेटफॉर्म में एक कमजोरी सक्रिय रूप से शोषित हो रही है। विवरण SecurityWeek की साप्ताहिक समीक्षा में सामने आए। सेल्फ-होस्टेड n8n इंस्टेंस चलाने वाले संगठनों को तुरंत अपडेट जांचने और एक्सेस नियंत्रणों की समीक्षा करनी चाहिए।

उच्च ऑटोमेशन शोषित

🐛 सप्लाई चेन और मैलवेयर

GlassWorm ForceMemo: चुराए गए GitHub टोकन → Python रिपॉजिटरी में मैलवेयर

📅 17 मार्च ⚠️ सक्रिय अभियान 🌍 वैश्विक

GlassWorm अभियान नाटकीय रूप से बढ़ गया है। हमलावर पहले के VS Code एक्सटेंशन हमले में चुराए गए GitHub टोकन का उपयोग करके सैकड़ों Python रिपॉजिटरी में ऑब्फस्केटेड मैलवेयर इंजेक्ट कर रहे हैं — Django ऐप्स, ML रिसर्च कोड, Streamlit डैशबोर्ड, और PyPI पैकेज। इस तकनीक ("ForceMemo" नाम दिया गया) में दुर्भावनापूर्ण कमिट को वैध कमिट पर रीबेस किया जाता है, मूल लेखक जानकारी और कमिट संदेशों को बनाए रखते हुए ताकि पहचान से बचा जा सके। किसी भी समझौता किए गए रिपो से pip install चलाने पर मैलवेयर ट्रिगर होता है। इंजेक्शन 8 मार्च से हो रहे हैं।

KENSAI दृष्टिकोण: यह एक पाठ्यपुस्तक सप्लाई चेन हमला है — ठीक उसी प्रकार का खतरा जिसके लिए NIS2 अनुच्छेद 21(2)(d) लिखा गया था। संगठनों को अपनी Python डिपेंडेंसी का ऑडिट करना चाहिए, कमिट हस्ताक्षर सत्यापित करने चाहिए, और समझौता संकेतकों के लिए स्कैन करना चाहिए। KENSAI की SBOM और डिपेंडेंसी विश्लेषण क्षमताएं समझौता किए गए पैकेजों को फ्लैग कर सकती हैं।
गंभीर सप्लाई चेन Python GitHub

ClickFix अभियान MacSync macOS इन्फोस्टीलर तैनात करते हैं

📅 16 मार्च 🍎 macOS

तीन अलग-अलग ClickFix अभियान नकली AI टूल इंस्टॉलर (एक नकली "OpenAI Atlas" ब्राउज़र सहित) के माध्यम से MacSync इन्फोस्टीलर वितरित कर रहे हैं। यह हमला पूरी तरह उपयोगकर्ता इंटरैक्शन पर निर्भर करता है — पीड़ित ऑब्फस्केटेड टर्मिनल कमांड कॉपी और एक्जीक्यूट करते हैं। स्पॉन्सर्ड Google सर्च रिजल्ट के माध्यम से नकली Google Sites पेजों पर डिलीवर किया जाता है। Sophos शोधकर्ताओं ने नवंबर 2025 से आगे की पूरी चेन को दस्तावेजित किया।

उच्च macOS इन्फोस्टीलर सोशल इंजीनियरिंग

Storm-2561: नकली VPN क्लाइंट क्रेडेंशियल चुरा रहे हैं

📅 16 मार्च ⚠️ सक्रिय अभियान

खतरनाक अभिकर्ता Storm-2561 SEO पॉइजनिंग के माध्यम से ट्रोजनाइज्ड VPN क्लाइंट वितरित कर रहा है, ट्रोजन तैनात कर रहा है, और वैध VPN सॉफ्टवेयर खोजने वाले अनजान उपयोगकर्ताओं से लॉगिन क्रेडेंशियल एकत्र कर रहा है।

उच्च VPN SEO पॉइजनिंग क्रेडेंशियल चोरी

Slopoly मैलवेयर का उदय

📅 16 मार्च

"Slopoly" नामक एक नया मैलवेयर परिवार SecurityWeek की साप्ताहिक समीक्षा में चिह्नित किया गया। विवरण अभी सामने आ रहे हैं, लेकिन इसे सप्ताह के अन्य उल्लेखनीय खतरों के साथ नोट किया गया है।

मध्यम नया मैलवेयर

🎯 APT और राष्ट्र-राज्य गतिविधि

DRILLAPP: रूस से जुड़ा बैकडोर Edge डीबगिंग के माध्यम से यूक्रेन को निशाना बनाता है

📅 16 मार्च 🏴 Laundry Bear / UAC-0190 🎯 यूक्रेन

DRILLAPP नामक एक नया JavaScript-आधारित बैकडोर यूक्रेनी संस्थाओं के विरुद्ध गुप्त जासूसी के लिए Microsoft Edge के रिमोट डीबगिंग फीचर का दुरुपयोग करता है। यह मैलवेयर ब्राउज़र की मूल क्षमताओं के माध्यम से फाइलें अपलोड/डाउनलोड कर सकता है, माइक्रोफोन तक पहुंच सकता है, और वेबकैम इमेज कैप्चर कर सकता है। न्यायिक और चैरिटी-थीम वाले ल्यूर के साथ LNK फाइलों द्वारा डिलीवर किया गया। Laundry Bear (Void Blizzard), एक रूस से जुड़े खतरा समूह को जिम्मेदार ठहराया गया। अभियान फरवरी 2026 से देखा गया।

गंभीर APT रूस जासूसी

CL-STA-1087: चीन दक्षिण-पूर्व एशियाई सेनाओं को निशाना बनाता है

📅 13 मार्च 🏴 CL-STA-1087 🎯 दक्षिण-पूर्व एशिया सेना

Palo Alto Unit 42 ने एक धैर्यपूर्ण चीन से जुड़े जासूसी ऑपरेशन (2020 से सक्रिय) का खुलासा किया जो कस्टम AppleChris और MemFun मैलवेयर के साथ दक्षिण-पूर्व एशियाई सैन्य संगठनों को निशाना बना रहा है। हमलावरों ने "रणनीतिक परिचालन धैर्य" का प्रदर्शन किया और थोक डेटा चोरी के बजाय अत्यधिक विशिष्ट सैन्य क्षमता दस्तावेजों पर ध्यान केंद्रित किया।

उच्च APT चीन सैन्य

ईरान से जुड़े हैकर अमेरिकी इन्फ्रास्ट्रक्चर तक लक्ष्य बढ़ाते हैं

📅 16 मार्च 🏴 ईरान समर्थक समूह 🎯 अमेरिका, मध्य पूर्व

ईरान समर्थक हैकर मध्य पूर्वी लक्ष्यों से आगे बढ़कर संयुक्त राज्य अमेरिका में प्रवेश कर रहे हैं, जारी क्षेत्रीय संघर्षों के दौरान रक्षा ठेकेदारों, बिजली स्टेशनों और जल उपचार संयंत्रों के लिए जोखिम बढ़ा रहे हैं।

उच्च ईरान महत्वपूर्ण इन्फ्रास्ट्रक्चर ICS/OT

पोलैंड का परमाणु अनुसंधान केंद्र: हैक प्रयास (संभावित ईरान)

📅 16 मार्च 🎯 पोलैंड

पोलैंड के परमाणु अनुसंधान केंद्र पर हैकिंग प्रयास की सूचना मिली। प्रारंभिक साक्ष्य ईरान की ओर इशारा करते हैं, हालांकि अधिकारियों ने स्वीकार किया कि यह फॉल्स फ्लैग ऑपरेशन हो सकता है। जांच जारी है।

उच्च परमाणु महत्वपूर्ण इन्फ्रास्ट्रक्चर

🔧 सुरक्षा टूल्स और रिलीज

Betterleaks: ओपन-सोर्स सीक्रेट्स स्कैनर (Gitleaks उत्तराधिकारी)

📅 15 मार्च 📦 MIT लाइसेंस 🔗 GitHub

Zach Rice (मूल Gitleaks लेखक, अब Aikido Security में सीक्रेट्स स्कैनिंग के प्रमुख) द्वारा बनाया गया, Betterleaks प्रमुख सुधारों के साथ शुरू से पुनर्लिखन है: CEL-आधारित नियम सत्यापन, 98.6% रिकॉल के लिए BPE टोकनाइजेशन (एंट्रॉपी के साथ 70.4% की तुलना में), शुद्ध Go कार्यान्वयन, मल्टी-एन्कोडेड सीक्रेट्स की स्वचालित हैंडलिंग, समानांतर Git स्कैनिंग, और विस्तारित प्रदाता नियम सेट। आगामी सुविधाओं में LLM-सहायित वर्गीकरण और स्वचालित सीक्रेट निरसन शामिल हैं।

नई रिलीज सीक्रेट्स स्कैनिंग ओपन सोर्स

Bold Security: $40M स्टेल्थ लॉन्च — AI-संचालित डिवाइस एजेंट

📅 16 मार्च 💰 $40M फंडिंग

Bold Security $40M फंडिंग के साथ स्टेल्थ से बाहर आया। उनका दृष्टिकोण: डिवाइसों को सक्रिय AI एजेंट में बदलना जो उपयोगकर्ता कार्यों को समझते हैं और रीयल-टाइम सुरक्षा प्रदान करते हैं। AI सुरक्षा क्षेत्र में संभावित प्रतिस्पर्धी/भागीदार के रूप में नजर रखने योग्य।

नया AI सुरक्षा स्टार्टअप

Android 17: मैलवेयर रोकथाम के लिए Accessibility API लॉकडाउन

📅 16 मार्च 📱 Android

Google Android 17 Beta 2 में एक सुरक्षा सुविधा का परीक्षण कर रहा है जो Advanced Protection Mode के तहत गैर-एक्सेसिबिलिटी ऐप्स को Accessibility Services API का उपयोग करने से रोकती है। यह सीधे Android बैंकिंग ट्रोजन और स्पाइवेयर के प्राथमिक हमला वेक्टर को निशाना बनाता है।

नया Android मोबाइल सुरक्षा

📊 उभरते पैटर्न

इस सप्ताह के प्रमुख रुझान

ट्रैक करने योग्य कई समकालीन पैटर्न:

1. MDM-हथियार-के-रूप-में: Stryker हमला साबित करता है कि वैध प्रबंधन उपकरण (Intune, SCCM, Jamf) अब प्रथम श्रेणी की हमला सतहें हैं। किसी मैलवेयर की जरूरत नहीं — बस एडमिन क्रेडेंशियल और एक वाइप कमांड। नकलची की अपेक्षा करें।

2. सप्लाई चेन कैस्केड (GlassWorm → ForceMemo): एक ही सप्लाई चेन समझौता (VS Code एक्सटेंशन) अब Python रिपॉजिटरी पर द्वितीय-क्रम हमले में बदल रहा है। यह चेन रिएक्शन पैटर्न — जहां एक हमले से चुराए गए क्रेडेंशियल अगले को ईंधन देते हैं — तेज हो रहा है।

3. ClickFix क्रॉस-प्लेटफॉर्म: ClickFix सोशल इंजीनियरिंग तकनीक (उपयोगकर्ताओं को टर्मिनल कमांड चलाने के लिए धोखा देना) अब Windows से macOS तक पहुंच गई है, नकली AI टूल इंस्टॉलर के माध्यम से डिलीवर की जा रही है। AI का प्रचार नया फिशिंग ल्यूर है।

4. ब्राउज़र-C2-के-रूप-में: DRILLAPP (Edge डीबगिंग) और Chrome 0-day दोनों दर्शाते हैं कि ब्राउज़र सबसे मूल्यवान हमला सतह बने हुए हैं। "ब्राउज़िंग" और "समझौता" के बीच की रेखा लगातार पतली होती जा रही है।

5. ईरान वृद्धि: 24 घंटों में तीन ईरान से जुड़ी कहानियां — Stryker वाइपर, अमेरिकी इन्फ्रास्ट्रक्चर निशाना, पोलैंड परमाणु सुविधा। भू-राजनीतिक तनाव सीधे साइबर ऑपरेशन में बदल रहे हैं।

KENSAI दृष्टिकोण: इस सप्ताह की कई कहानियां सीधे NIS2 अनुपालन आवश्यकताओं से मैप होती हैं: सप्लाई चेन सुरक्षा (अनु. 21.2d), घटना प्रबंधन (अनु. 21.2b), एक्सेस नियंत्रण (अनु. 21.2i)। यही वह खतरा परिदृश्य है जिसके लिए KENSAI बनाया गया था।

📌 अन्य उल्लेखनीय

संक्षिप्त समाचार

Microsoft Exchange Online आउटेज — मेलबॉक्स/कैलेंडर एक्सेस ब्लॉक करने वाली चल रही समस्या (16 मार्च)
Google ने 2025 में बग बाउंटी में $17M का भुगतान किया — केवल Chrome के लिए $3.7M, क्लाउड सुरक्षा के लिए $3.5M
शैडो AI गवर्नेंस — Nudge Security ने उद्यमों में बढ़ते अनिगरानी AI टूल अपनाने की रिपोर्ट दी
सुरक्षा फर्म कार्यकारी को निशाना बनाया गया — DKIM-हस्ताक्षरित ईमेल, विश्वसनीय रीडायरेक्ट, और Cloudflare-संरक्षित फिशिंग पेजों का उपयोग करते हुए परिष्कृत फिशिंग
Interpol साइबर अपराध कार्रवाई — बहुराष्ट्रीय ऑपरेशन साप्ताहिक समीक्षाओं में चिह्नित
Telus Digital डेटा उल्लंघन — कनाडाई दूरसंचार सहायक कंपनी प्रभावित
Linux AppArmor कमजोरियां — रूट विशेषाधिकार वृद्धि की अनुमति देने वाले दोष