剣 KENSAI
← Back to archive
KENSAI Intelligence

सुरक्षा ब्रीफिंग

2026-03-20 · गुरुवार → शुक्रवार · 04:00 CET
3
डेटा उल्लंघन
6
गंभीर कमज़ोरियाँ
3
Zero-Day
4
फंडिंग राउंड

⚡ TL;DR — आज की मुख्य बातें

  • DarkSword iOS एक्सप्लॉइट किट — एक महीने में दूसरी फुल-चेन iOS किट, 3 zero-day, रूसी जासूसी समूह UNC6353 यूक्रेन को निशाना बना रहा। iOS 18.4–18.7 प्रभावित।
  • Handala हैक्टिविस्ट्स ने Microsoft Intune के ज़रिए 80,000 Stryker उपकरण मिटाए — FBI ने उनकी लीक साइट ज़ब्त की। CISA ने Intune सुदृढ़ीकरण मार्गदर्शन जारी किया।
  • PolyShell RCE — सभी Magento/Adobe Commerce v2 में। पॉलीग्लॉट फ़ाइल अपलोड के ज़रिए बिना प्रमाणीकरण के कोड निष्पादन। अभी तक कोई प्रोडक्शन पैच नहीं।
  • Cisco FMC zero-day — जनवरी से Interlock रैंसमवेयर द्वारा शोषित। Amazon ने रूस से संबंध पाए।
  • Navia उल्लंघन — 27 लाख लोग प्रभावित। संवेदनशील लाभ डेटा उजागर।
  • APT28 (रूस) Zimbra CSS सैनिटाइज़ेशन दोष का शोषण कर यूक्रेन सरकार पर हमला कर रहा है।
  • 9 गंभीर IP KVM कमज़ोरियाँ — 4 विक्रेताओं में। BIOS स्तर पर बिना प्रमाणीकरण के रूट एक्सेस।
🔓

डेटा उल्लंघन

Navia Benefit Solutions — 27 लाख रिकॉर्ड उजागर

लाभ प्रशासन कंपनी Navia ने लगभग 27 लाख व्यक्तियों को प्रभावित करने वाले उल्लंघन का खुलासा किया। हमलावरों ने लाभ डेटा, सामाजिक सुरक्षा नंबर और वित्तीय रिकॉर्ड सहित संवेदनशील व्यक्तिगत जानकारी तक पहुँच प्राप्त की। कंपनी प्रभावित व्यक्तियों को क्रेडिट मॉनिटरिंग सेवाएँ प्रदान कर रही है।

CRITICAL 27 लाख प्रभावित source →

Aura Security — फ़िशिंग से 9 लाख रिकॉर्ड लीक

विडंबना यह है कि पहचान सुरक्षा कंपनी Aura ने 9 लाख रिकॉर्ड को प्रभावित करने वाले उल्लंघन का खुलासा किया। एक कर्मचारी लक्षित फ़ोन फ़िशिंग (विशिंग) हमले का शिकार हुआ, जिससे हमलावरों को ग्राहक डेटा वाले मार्केटिंग टूल तक पहुँच मिली।

HIGH 9 लाख रिकॉर्ड source →

Marquis डेटा उल्लंघन — 672,000 की पुष्टि

शुरुआती अनुमान 16 लाख से घटाकर, Marquis उल्लंघन अब 672,000 प्रभावित व्यक्तियों की पुष्टि करता है। डेटा प्रकार और हमले के वेक्टर की जाँच जारी है।

HIGH 672K प्रभावित source →
⚠️

गंभीर कमज़ोरियाँ

DarkSword iOS एक्सप्लॉइट किट — 6 दोष, 3 Zero-Day

Google Threat Intelligence, iVerify और Lookout ने संयुक्त रूप से "DarkSword" का खुलासा किया — iOS 18.4–18.7 को लक्षित करने वाली एक फुल-चेन iOS एक्सप्लॉइट किट। 3 zero-day (CVE-2026-20700, CVE-2025-43529, CVE-2025-14174) सहित 6 कमज़ोरियों का शोषण। रूसी समूह UNC6353, व्यावसायिक निगरानी विक्रेताओं और यूक्रेन, सऊदी अरब, तुर्की और मलेशिया को लक्षित करने वाले राज्य-प्रायोजित अभिकर्ताओं द्वारा उपयोग किया जाता है। "हिट-एंड-रन" दृष्टिकोण अपनाता है, सेकंडों में डेटा चुरा लेता है। Coruna के बाद एक महीने के भीतर खोजी गई दूसरी iOS एक्सप्लॉइट किट।

3 ZERO-DAYS UNC6353 / RUSSIA iOS 18.4–18.7 source →

PolyShell — सभी Magento/Adobe Commerce v2 पर बिना प्रमाणीकरण के RCE

Sansec ने Magento के REST API फ़ाइल अपलोड हैंडलिंग में "PolyShell" कमज़ोरी की खोज की। हमलावर पॉलीग्लॉट फ़ाइलें (छवि और स्क्रिप्ट दोनों के रूप में मान्य) अपलोड करके बिना प्रमाणीकरण के रिमोट कोड निष्पादन या स्टोर्ड XSS अकाउंट टेकओवर हासिल करते हैं। सभी प्रोडक्शन Magento Open Source और Adobe Commerce v2 इंस्टॉलेशन प्रभावित। पैच केवल अल्फ़ा 2.4.9 में उपलब्ध — अभी तक कोई प्रोडक्शन फ़िक्स नहीं। एक्सप्लॉइट विधि पहले से प्रसारित हो रही है।

CRITICAL — पैच नहीं सभी MAGENTO V2 source →

Ubiquiti UniFi — अधिकतम गंभीरता का अकाउंट टेकओवर

Ubiquiti ने UniFi Network Application में दो कमज़ोरियाँ ठीक कीं, जिसमें अकाउंट टेकओवर को सक्षम करने वाली अधिकतम-गंभीरता का दोष शामिल है। व्यवस्थापकों को तुरंत अपडेट करना चाहिए।

CVSS 10.0 पैच किया गया source →

ScreenConnect — गंभीर मशीन कुंजी लीक

ConnectWise ने ScreenConnect की एक गंभीर कमज़ोरी को ठीक किया जिसने मशीन कुंजियाँ उजागर कीं, संभावित रूप से अनधिकृत रिमोट एक्सेस की अनुमति दी। नवीनतम संस्करण कुंजी सुरक्षा के लिए एन्क्रिप्टेड स्टोरेज और प्रबंधन जोड़ता है।

CRITICAL पैच किया गया source →

SharePoint RCE (CVE-2026-20963) — सक्रिय शोषण

CISA ने Microsoft SharePoint CVE-2026-20963 को अपने ज्ञात शोषित कमज़ोरियों के कैटलॉग में जोड़ा। जनवरी के पैच ट्यूज़डे में ठीक किया गया RCE दोष अब वास्तविक परिवेश में शोषित होने की पुष्टि हुई है।

सक्रिय रूप से शोषित पैच उपलब्ध source →

9 गंभीर IP KVM दोष — बिना प्रमाणीकरण के रूट एक्सेस

Eclypsium ने 4 IP KVM उत्पादों (GL-iNet Comet RM-1, Angeet/Yeeso ES3, Sipeed NanoKVM, JetKVM) में 9 कमज़ोरियाँ खोजीं। फ़र्मवेयर हस्ताक्षर सत्यापन की कमी, ब्रूट-फ़ोर्स सुरक्षा नहीं, टूटी हुई एक्सेस नियंत्रण, उजागर डिबग इंटरफ़ेस। हमलावर BIOS/UEFI स्तर पर रूट एक्सेस प्राप्त कर सकते हैं — सभी OS-स्तर की सुरक्षा को बायपास करते हुए।

CRITICAL 4 विक्रेता source →
💀

रैंसमवेयर और प्रमुख हमले

Handala हैक्टिविस्ट्स ने Microsoft Intune के ज़रिए 80,000 Stryker उपकरण मिटाए

Handala हैक्टिविस्ट समूह ने चिकित्सा प्रौद्योगिकी दिग्गज Stryker पर विनाशकारी हमला किया, Microsoft Intune एंडपॉइंट प्रबंधन को हथियार बनाकर लगभग 80,000 उपकरण मिटा दिए। FBI ने Handala द्वारा संचालित दो डेटा लीक वेबसाइटें ज़ब्त कीं। CISA ने इसके बाद सभी अमेरिकी संगठनों के लिए Microsoft Intune डिप्लॉयमेंट को मज़बूत करने के लिए तत्काल मार्गदर्शन जारी किया।

विनाशकारी 80K उपकरण मिटाए FBI ज़ब्ती source →

Cisco FMC Zero-Day का Interlock रैंसमवेयर द्वारा शोषण

Amazon ने पाया कि Cisco Firewall Management Center (FMC) की कमज़ोरी को जनवरी के अंत से Interlock रैंसमवेयर समूह द्वारा zero-day के रूप में शोषित किया जा रहा है। साक्ष्य रूस से जुड़ाव की ओर इशारा करते हैं। Cisco की हालिया कमज़ोरियों की श्रृंखला फ़ायरवॉल और SD-WAN दोषों के सक्रिय शोषण का चिंताजनक पैटर्न दर्शाती है।

ZERO-DAY INTERLOCK रूस से जुड़ा source →

Bitrefill ने हमले का श्रेय उत्तर कोरियाई Lazarus/Bluenoroff को दिया

क्रिप्टो गिफ़्ट कार्ड प्लेटफ़ॉर्म Bitrefill ने खुलासा किया कि उनका मार्च की शुरुआत का साइबर हमला संभवतः उत्तर कोरिया के Bluenoroff समूह (Lazarus उपसमूह) द्वारा किया गया था। उत्तर कोरिया द्वारा राजस्व उत्पन्न करने के लिए क्रिप्टो और फ़िनटेक प्लेटफ़ॉर्म को लक्षित करने का पैटर्न जारी।

LAZARUS / BLUENOROFF क्रिप्टो source →

नॉर्थ कैरोलिना इनसाइडर हमला — $2.5M फिरौती

नॉर्थ कैरोलिना के एक टेक कर्मचारी को वॉशिंगटन की एक तकनीकी कंपनी पर इनसाइडर हमला करने का दोषी पाया गया, जिसमें $2.5 मिलियन फिरौती प्राप्त हुई। लगातार बनी रहने वाली इनसाइडर खतरे के जोखिम को उजागर करता है।

इनसाइडर खतरा $2.5M फिरौती source →
🎯

राज्य-प्रायोजित और APT गतिविधि

APT28 (रूस/GRU) यूक्रेन के खिलाफ़ Zimbra का शोषण

रूसी सैन्य खुफ़िया से जुड़ा APT28 सक्रिय रूप से यूक्रेनी सरकारी संस्थाओं पर हमलों में Zimbra Collaboration Suite की कमज़ोरी का शोषण कर रहा है। यह दोष HTML ईमेल में अपर्याप्त CSS सैनिटाइज़ेशन से संबंधित है, जो ब्राउज़र में संदेश खोलने पर इनलाइन स्क्रिप्ट निष्पादन को सक्षम करता है।

APT28 / FANCY BEAR यूक्रेन source →

ईरान की साइबर बुनियादी ढाँचे का निर्माण उजागर

विश्लेषण से ईरान से जुड़े साइबर बुनियादी ढाँचे के छह महीने के निर्माण का खुलासा, जिसमें अमेरिका स्थित शेल कंपनियाँ शामिल हैं, जो वैश्विक हैकिंग संचालन की लचीलापन सुनिश्चित करने और संभावित काइनेटिक हमलों का सामना करने के लिए डिज़ाइन की गई हैं। Stryker घटना के मद्देनज़र संघीय अधिकारी ईरानी साइबर हमलों के प्रति उच्च सतर्कता पर हैं।

IRAN बुनियादी ढाँचा source →

The Gentlemen RaaS — FortiGate-केंद्रित अभियान

Group-IB ने "The Gentlemen" का विवरण दिया — लगभग 20 सदस्यों का एक नवोदित Ransomware-as-a-Service अभियान जो विशेष रूप से FortiGate फ़ायरवॉल कमज़ोरियों का शोषण करता है। प्रारंभिक एक्सेस के लिए एज डिवाइस शोषण के जारी रुझान का हिस्सा।

RAAS FORTIGATE source →
🛠️

सुरक्षा उपकरण और उद्योग

Oasis Security — AI एजेंट एक्सेस प्रबंधन के लिए $120M

Oasis Security ने अपने एजेंटिक एक्सेस प्रबंधन प्लेटफ़ॉर्म के विस्तार के लिए $120M जुटाए। R&D, AI फ्रेमवर्क उत्पाद विस्तार और गो-टू-मार्केट स्केलिंग पर ध्यान। AI एजेंट सुरक्षा नियंत्रणों में निवेशकों की बढ़ती रुचि का संकेत।

$120M फंडिंग source →

Cloaked गोपनीयता प्लेटफ़ॉर्म — $375M फंडिंग

गोपनीयता प्लेटफ़ॉर्म Cloaked ने एंटरप्राइज़ बाज़ारों में विस्तार के लिए $375M जुटाए। उपयोगकर्ताओं की ओर से गोपनीयता प्राथमिकताओं और सुरक्षा स्थिति की निगरानी, प्रबंधन और प्रवर्तन करने वाले AI एजेंट पेश करने की योजना।

$375M फंडिंग source →

1stProtect — $20M के साथ स्टेल्थ से लॉन्च

एंडपॉइंट सुरक्षा स्टार्टअप 1stProtect $20M के साथ स्टेल्थ से बाहर आया। उनका प्लेटफ़ॉर्म व्यवहार की निगरानी करता है और रीयल टाइम में हमलों को रोकने के लिए उपयोगकर्ता के इरादे को सत्यापित करता है — एंडपॉइंट सुरक्षा के लिए एक नया दृष्टिकोण।

$20M फंडिंग source →

Raven — रनटाइम विसंगति पहचान के लिए $20M

Raven $20M के साथ स्टेल्थ से बाहर आया। उनका प्लेटफ़ॉर्म रनटाइम पर एप्लिकेशन का अवलोकन करता है ताकि असामान्य व्यवहार का पता लगाया जा सके और साइबर हमलों को रोका जा सके — स्टैटिक विश्लेषण और वास्तविक शोषण के बीच के अंतर को लक्षित करता है।

$20M फंडिंग source →

Ceros — Claude Code के लिए AI ट्रस्ट लेयर

Beyond Identity ने Ceros लॉन्च किया, एक "AI ट्रस्ट लेयर" जो Claude Code एजेंट संचालन के लिए रीयल-टाइम दृश्यता, रनटाइम नीति प्रवर्तन और क्रिप्टोग्राफ़िक ऑडिट ट्रेल प्रदान करता है। मौजूदा सुरक्षा नियंत्रणों के बाहर पूर्ण डेवलपर अनुमतियों के साथ संचालित AI कोडिंग एजेंटों के उभरते जोखिम को संबोधित करता है।

AI एजेंट सुरक्षा source →
📊

उभरते खतरे के पैटर्न

iOS एक्सप्लॉइट का प्रसार

एक महीने के भीतर दो फुल-चेन iOS एक्सप्लॉइट किट (Coruna और DarkSword) की खोज, जिनका उपयोग राज्य अभिकर्ताओं और व्यावसायिक निगरानी विक्रेताओं दोनों द्वारा किया जा रहा है। एक समृद्ध द्वितीयक बाज़ार का प्रदर्शन जहाँ आर्थिक रूप से प्रेरित समूह भी राष्ट्र-राज्य स्तर के मोबाइल एक्सप्लॉइट प्राप्त कर सकते हैं। "हिट-एंड-रन" डेटा निष्कासन दृष्टिकोण — घंटों नहीं, सेकंडों में — फोरेंसिक पहचान को अत्यंत कठिन बनाता है।

रुझान: मोबाइल एक्सप्लॉइट

एज डिवाइस शोषण जारी

FortiGate (The Gentlemen RaaS), Cisco FMC (Interlock रैंसमवेयर), Ubiquiti UniFi, Zimbra, IP KVM डिवाइस — पैटर्न स्पष्ट है। हमलावर व्यवस्थित रूप से नेटवर्क एज बुनियादी ढाँचे को लक्षित कर रहे हैं। नया IP KVM शोध दिखाता है कि सस्ते, कमज़ोर सुरक्षित हार्डवेयर के माध्यम से BIOS-स्तर की पहुँच भी जोखिम में है। संगठनों को हर एज डिवाइस को एक महत्वपूर्ण हमले की सतह के रूप में मानना चाहिए।

रुझान: एज डिवाइस

Microsoft Intune हमले के वेक्टर के रूप में

Handala द्वारा Microsoft Intune को हथियार बनाकर Stryker के 80,000 उपकरण मिटाना एक चेतावनी है। उपकरणों की सुरक्षा के लिए डिज़ाइन किए गए एंडपॉइंट प्रबंधन उपकरण समझौता होने पर सामूहिक विनाश के हथियार में बदल सकते हैं। CISA की प्रतिक्रिया मार्गदर्शन इंगित करता है कि यह अब एक मान्यता प्राप्त हमले का पैटर्न है जिससे उद्यमों को बचाव करना चाहिए।

रुझान: MDM का हथियारीकरण

AI एजेंट सुरक्षा एक स्वतंत्र श्रेणी के रूप में उभरा

कई स्टार्टअप (केवल इस सप्ताह $535M+ फंडिंग) विशेष रूप से AI एजेंट सुरक्षा के लिए उत्पाद बना रहे हैं — एक्सेस प्रबंधन, रनटाइम निगरानी, गोपनीयता प्रवर्तन। Ceros (Claude Code के लिए), Oasis (एजेंटिक एक्सेस), और Cloaked (AI गोपनीयता एजेंट) सभी संकेत देते हैं कि AI एजेंटों को सुरक्षित करना एक विशिष्ट सुरक्षा अनुशासन बन रहा है। KENSAI के रोडमैप के लिए प्रासंगिक।

रुझान: AI एजेंट सुरक्षा