सुरक्षा ब्रीफिंग
⚡ TL;DR — आज की मुख्य बातें
- DarkSword iOS एक्सप्लॉइट किट — एक महीने में दूसरी फुल-चेन iOS किट, 3 zero-day, रूसी जासूसी समूह UNC6353 यूक्रेन को निशाना बना रहा। iOS 18.4–18.7 प्रभावित।
- Handala हैक्टिविस्ट्स ने Microsoft Intune के ज़रिए 80,000 Stryker उपकरण मिटाए — FBI ने उनकी लीक साइट ज़ब्त की। CISA ने Intune सुदृढ़ीकरण मार्गदर्शन जारी किया।
- PolyShell RCE — सभी Magento/Adobe Commerce v2 में। पॉलीग्लॉट फ़ाइल अपलोड के ज़रिए बिना प्रमाणीकरण के कोड निष्पादन। अभी तक कोई प्रोडक्शन पैच नहीं।
- Cisco FMC zero-day — जनवरी से Interlock रैंसमवेयर द्वारा शोषित। Amazon ने रूस से संबंध पाए।
- Navia उल्लंघन — 27 लाख लोग प्रभावित। संवेदनशील लाभ डेटा उजागर।
- APT28 (रूस) Zimbra CSS सैनिटाइज़ेशन दोष का शोषण कर यूक्रेन सरकार पर हमला कर रहा है।
- 9 गंभीर IP KVM कमज़ोरियाँ — 4 विक्रेताओं में। BIOS स्तर पर बिना प्रमाणीकरण के रूट एक्सेस।
डेटा उल्लंघन
Navia Benefit Solutions — 27 लाख रिकॉर्ड उजागर
लाभ प्रशासन कंपनी Navia ने लगभग 27 लाख व्यक्तियों को प्रभावित करने वाले उल्लंघन का खुलासा किया। हमलावरों ने लाभ डेटा, सामाजिक सुरक्षा नंबर और वित्तीय रिकॉर्ड सहित संवेदनशील व्यक्तिगत जानकारी तक पहुँच प्राप्त की। कंपनी प्रभावित व्यक्तियों को क्रेडिट मॉनिटरिंग सेवाएँ प्रदान कर रही है।
Aura Security — फ़िशिंग से 9 लाख रिकॉर्ड लीक
विडंबना यह है कि पहचान सुरक्षा कंपनी Aura ने 9 लाख रिकॉर्ड को प्रभावित करने वाले उल्लंघन का खुलासा किया। एक कर्मचारी लक्षित फ़ोन फ़िशिंग (विशिंग) हमले का शिकार हुआ, जिससे हमलावरों को ग्राहक डेटा वाले मार्केटिंग टूल तक पहुँच मिली।
Marquis डेटा उल्लंघन — 672,000 की पुष्टि
शुरुआती अनुमान 16 लाख से घटाकर, Marquis उल्लंघन अब 672,000 प्रभावित व्यक्तियों की पुष्टि करता है। डेटा प्रकार और हमले के वेक्टर की जाँच जारी है।
गंभीर कमज़ोरियाँ
DarkSword iOS एक्सप्लॉइट किट — 6 दोष, 3 Zero-Day
Google Threat Intelligence, iVerify और Lookout ने संयुक्त रूप से "DarkSword" का खुलासा किया — iOS 18.4–18.7 को लक्षित करने वाली एक फुल-चेन iOS एक्सप्लॉइट किट। 3 zero-day (CVE-2026-20700, CVE-2025-43529, CVE-2025-14174) सहित 6 कमज़ोरियों का शोषण। रूसी समूह UNC6353, व्यावसायिक निगरानी विक्रेताओं और यूक्रेन, सऊदी अरब, तुर्की और मलेशिया को लक्षित करने वाले राज्य-प्रायोजित अभिकर्ताओं द्वारा उपयोग किया जाता है। "हिट-एंड-रन" दृष्टिकोण अपनाता है, सेकंडों में डेटा चुरा लेता है। Coruna के बाद एक महीने के भीतर खोजी गई दूसरी iOS एक्सप्लॉइट किट।
PolyShell — सभी Magento/Adobe Commerce v2 पर बिना प्रमाणीकरण के RCE
Sansec ने Magento के REST API फ़ाइल अपलोड हैंडलिंग में "PolyShell" कमज़ोरी की खोज की। हमलावर पॉलीग्लॉट फ़ाइलें (छवि और स्क्रिप्ट दोनों के रूप में मान्य) अपलोड करके बिना प्रमाणीकरण के रिमोट कोड निष्पादन या स्टोर्ड XSS अकाउंट टेकओवर हासिल करते हैं। सभी प्रोडक्शन Magento Open Source और Adobe Commerce v2 इंस्टॉलेशन प्रभावित। पैच केवल अल्फ़ा 2.4.9 में उपलब्ध — अभी तक कोई प्रोडक्शन फ़िक्स नहीं। एक्सप्लॉइट विधि पहले से प्रसारित हो रही है।
Ubiquiti UniFi — अधिकतम गंभीरता का अकाउंट टेकओवर
Ubiquiti ने UniFi Network Application में दो कमज़ोरियाँ ठीक कीं, जिसमें अकाउंट टेकओवर को सक्षम करने वाली अधिकतम-गंभीरता का दोष शामिल है। व्यवस्थापकों को तुरंत अपडेट करना चाहिए।
ScreenConnect — गंभीर मशीन कुंजी लीक
ConnectWise ने ScreenConnect की एक गंभीर कमज़ोरी को ठीक किया जिसने मशीन कुंजियाँ उजागर कीं, संभावित रूप से अनधिकृत रिमोट एक्सेस की अनुमति दी। नवीनतम संस्करण कुंजी सुरक्षा के लिए एन्क्रिप्टेड स्टोरेज और प्रबंधन जोड़ता है।
SharePoint RCE (CVE-2026-20963) — सक्रिय शोषण
CISA ने Microsoft SharePoint CVE-2026-20963 को अपने ज्ञात शोषित कमज़ोरियों के कैटलॉग में जोड़ा। जनवरी के पैच ट्यूज़डे में ठीक किया गया RCE दोष अब वास्तविक परिवेश में शोषित होने की पुष्टि हुई है।
9 गंभीर IP KVM दोष — बिना प्रमाणीकरण के रूट एक्सेस
Eclypsium ने 4 IP KVM उत्पादों (GL-iNet Comet RM-1, Angeet/Yeeso ES3, Sipeed NanoKVM, JetKVM) में 9 कमज़ोरियाँ खोजीं। फ़र्मवेयर हस्ताक्षर सत्यापन की कमी, ब्रूट-फ़ोर्स सुरक्षा नहीं, टूटी हुई एक्सेस नियंत्रण, उजागर डिबग इंटरफ़ेस। हमलावर BIOS/UEFI स्तर पर रूट एक्सेस प्राप्त कर सकते हैं — सभी OS-स्तर की सुरक्षा को बायपास करते हुए।
रैंसमवेयर और प्रमुख हमले
Handala हैक्टिविस्ट्स ने Microsoft Intune के ज़रिए 80,000 Stryker उपकरण मिटाए
Handala हैक्टिविस्ट समूह ने चिकित्सा प्रौद्योगिकी दिग्गज Stryker पर विनाशकारी हमला किया, Microsoft Intune एंडपॉइंट प्रबंधन को हथियार बनाकर लगभग 80,000 उपकरण मिटा दिए। FBI ने Handala द्वारा संचालित दो डेटा लीक वेबसाइटें ज़ब्त कीं। CISA ने इसके बाद सभी अमेरिकी संगठनों के लिए Microsoft Intune डिप्लॉयमेंट को मज़बूत करने के लिए तत्काल मार्गदर्शन जारी किया।
Cisco FMC Zero-Day का Interlock रैंसमवेयर द्वारा शोषण
Amazon ने पाया कि Cisco Firewall Management Center (FMC) की कमज़ोरी को जनवरी के अंत से Interlock रैंसमवेयर समूह द्वारा zero-day के रूप में शोषित किया जा रहा है। साक्ष्य रूस से जुड़ाव की ओर इशारा करते हैं। Cisco की हालिया कमज़ोरियों की श्रृंखला फ़ायरवॉल और SD-WAN दोषों के सक्रिय शोषण का चिंताजनक पैटर्न दर्शाती है।
Bitrefill ने हमले का श्रेय उत्तर कोरियाई Lazarus/Bluenoroff को दिया
क्रिप्टो गिफ़्ट कार्ड प्लेटफ़ॉर्म Bitrefill ने खुलासा किया कि उनका मार्च की शुरुआत का साइबर हमला संभवतः उत्तर कोरिया के Bluenoroff समूह (Lazarus उपसमूह) द्वारा किया गया था। उत्तर कोरिया द्वारा राजस्व उत्पन्न करने के लिए क्रिप्टो और फ़िनटेक प्लेटफ़ॉर्म को लक्षित करने का पैटर्न जारी।
नॉर्थ कैरोलिना इनसाइडर हमला — $2.5M फिरौती
नॉर्थ कैरोलिना के एक टेक कर्मचारी को वॉशिंगटन की एक तकनीकी कंपनी पर इनसाइडर हमला करने का दोषी पाया गया, जिसमें $2.5 मिलियन फिरौती प्राप्त हुई। लगातार बनी रहने वाली इनसाइडर खतरे के जोखिम को उजागर करता है।
राज्य-प्रायोजित और APT गतिविधि
APT28 (रूस/GRU) यूक्रेन के खिलाफ़ Zimbra का शोषण
रूसी सैन्य खुफ़िया से जुड़ा APT28 सक्रिय रूप से यूक्रेनी सरकारी संस्थाओं पर हमलों में Zimbra Collaboration Suite की कमज़ोरी का शोषण कर रहा है। यह दोष HTML ईमेल में अपर्याप्त CSS सैनिटाइज़ेशन से संबंधित है, जो ब्राउज़र में संदेश खोलने पर इनलाइन स्क्रिप्ट निष्पादन को सक्षम करता है।
ईरान की साइबर बुनियादी ढाँचे का निर्माण उजागर
विश्लेषण से ईरान से जुड़े साइबर बुनियादी ढाँचे के छह महीने के निर्माण का खुलासा, जिसमें अमेरिका स्थित शेल कंपनियाँ शामिल हैं, जो वैश्विक हैकिंग संचालन की लचीलापन सुनिश्चित करने और संभावित काइनेटिक हमलों का सामना करने के लिए डिज़ाइन की गई हैं। Stryker घटना के मद्देनज़र संघीय अधिकारी ईरानी साइबर हमलों के प्रति उच्च सतर्कता पर हैं।
The Gentlemen RaaS — FortiGate-केंद्रित अभियान
Group-IB ने "The Gentlemen" का विवरण दिया — लगभग 20 सदस्यों का एक नवोदित Ransomware-as-a-Service अभियान जो विशेष रूप से FortiGate फ़ायरवॉल कमज़ोरियों का शोषण करता है। प्रारंभिक एक्सेस के लिए एज डिवाइस शोषण के जारी रुझान का हिस्सा।
सुरक्षा उपकरण और उद्योग
Oasis Security — AI एजेंट एक्सेस प्रबंधन के लिए $120M
Oasis Security ने अपने एजेंटिक एक्सेस प्रबंधन प्लेटफ़ॉर्म के विस्तार के लिए $120M जुटाए। R&D, AI फ्रेमवर्क उत्पाद विस्तार और गो-टू-मार्केट स्केलिंग पर ध्यान। AI एजेंट सुरक्षा नियंत्रणों में निवेशकों की बढ़ती रुचि का संकेत।
Cloaked गोपनीयता प्लेटफ़ॉर्म — $375M फंडिंग
गोपनीयता प्लेटफ़ॉर्म Cloaked ने एंटरप्राइज़ बाज़ारों में विस्तार के लिए $375M जुटाए। उपयोगकर्ताओं की ओर से गोपनीयता प्राथमिकताओं और सुरक्षा स्थिति की निगरानी, प्रबंधन और प्रवर्तन करने वाले AI एजेंट पेश करने की योजना।
1stProtect — $20M के साथ स्टेल्थ से लॉन्च
एंडपॉइंट सुरक्षा स्टार्टअप 1stProtect $20M के साथ स्टेल्थ से बाहर आया। उनका प्लेटफ़ॉर्म व्यवहार की निगरानी करता है और रीयल टाइम में हमलों को रोकने के लिए उपयोगकर्ता के इरादे को सत्यापित करता है — एंडपॉइंट सुरक्षा के लिए एक नया दृष्टिकोण।
Raven — रनटाइम विसंगति पहचान के लिए $20M
Raven $20M के साथ स्टेल्थ से बाहर आया। उनका प्लेटफ़ॉर्म रनटाइम पर एप्लिकेशन का अवलोकन करता है ताकि असामान्य व्यवहार का पता लगाया जा सके और साइबर हमलों को रोका जा सके — स्टैटिक विश्लेषण और वास्तविक शोषण के बीच के अंतर को लक्षित करता है।
Ceros — Claude Code के लिए AI ट्रस्ट लेयर
Beyond Identity ने Ceros लॉन्च किया, एक "AI ट्रस्ट लेयर" जो Claude Code एजेंट संचालन के लिए रीयल-टाइम दृश्यता, रनटाइम नीति प्रवर्तन और क्रिप्टोग्राफ़िक ऑडिट ट्रेल प्रदान करता है। मौजूदा सुरक्षा नियंत्रणों के बाहर पूर्ण डेवलपर अनुमतियों के साथ संचालित AI कोडिंग एजेंटों के उभरते जोखिम को संबोधित करता है।
उभरते खतरे के पैटर्न
iOS एक्सप्लॉइट का प्रसार
एक महीने के भीतर दो फुल-चेन iOS एक्सप्लॉइट किट (Coruna और DarkSword) की खोज, जिनका उपयोग राज्य अभिकर्ताओं और व्यावसायिक निगरानी विक्रेताओं दोनों द्वारा किया जा रहा है। एक समृद्ध द्वितीयक बाज़ार का प्रदर्शन जहाँ आर्थिक रूप से प्रेरित समूह भी राष्ट्र-राज्य स्तर के मोबाइल एक्सप्लॉइट प्राप्त कर सकते हैं। "हिट-एंड-रन" डेटा निष्कासन दृष्टिकोण — घंटों नहीं, सेकंडों में — फोरेंसिक पहचान को अत्यंत कठिन बनाता है।
एज डिवाइस शोषण जारी
FortiGate (The Gentlemen RaaS), Cisco FMC (Interlock रैंसमवेयर), Ubiquiti UniFi, Zimbra, IP KVM डिवाइस — पैटर्न स्पष्ट है। हमलावर व्यवस्थित रूप से नेटवर्क एज बुनियादी ढाँचे को लक्षित कर रहे हैं। नया IP KVM शोध दिखाता है कि सस्ते, कमज़ोर सुरक्षित हार्डवेयर के माध्यम से BIOS-स्तर की पहुँच भी जोखिम में है। संगठनों को हर एज डिवाइस को एक महत्वपूर्ण हमले की सतह के रूप में मानना चाहिए।
Microsoft Intune हमले के वेक्टर के रूप में
Handala द्वारा Microsoft Intune को हथियार बनाकर Stryker के 80,000 उपकरण मिटाना एक चेतावनी है। उपकरणों की सुरक्षा के लिए डिज़ाइन किए गए एंडपॉइंट प्रबंधन उपकरण समझौता होने पर सामूहिक विनाश के हथियार में बदल सकते हैं। CISA की प्रतिक्रिया मार्गदर्शन इंगित करता है कि यह अब एक मान्यता प्राप्त हमले का पैटर्न है जिससे उद्यमों को बचाव करना चाहिए।
AI एजेंट सुरक्षा एक स्वतंत्र श्रेणी के रूप में उभरा
कई स्टार्टअप (केवल इस सप्ताह $535M+ फंडिंग) विशेष रूप से AI एजेंट सुरक्षा के लिए उत्पाद बना रहे हैं — एक्सेस प्रबंधन, रनटाइम निगरानी, गोपनीयता प्रवर्तन। Ceros (Claude Code के लिए), Oasis (एजेंटिक एक्सेस), और Cloaked (AI गोपनीयता एजेंट) सभी संकेत देते हैं कि AI एजेंटों को सुरक्षित करना एक विशिष्ट सुरक्षा अनुशासन बन रहा है। KENSAI के रोडमैप के लिए प्रासंगिक।