剣 KENSAI
← All posts · security · 2026-03-11 · 3 min

FortiGate क्रेडेंशियल चोरी, KadNap बॉटनेट ने 14,000 राउटर को प्रभावित किया, Microsoft ने 2 Zero-Days पैच किए

हमलावर स्वास्थ्य सेवा और सरकारी नेटवर्क से Active Directory क्रेडेंशियल चुराने के लिए FortiGate फ़ायरवॉल का शोषण कर रहे हैं। KadNap मैलवेयर ने 14,000+ ASUS राउटर को एक स्टेल्थ प्रॉक्सी बॉटनेट में बदल दिया है। Microsoft मार्च Patch Tuesday ने 2 zero-days और 79 कमजोरियां ठीक कीं। BlackSanta EDR किलर HR विभागों को लक्षित करता है। HPE ने AOS-CX स्विच में गंभीर प्रमाणीकरण बायपास पैच किया।


1. FortiGate फ़ायरवॉल का AD क्रेडेंशियल चुराने के लिए शोषण

🚨 गंभीर — स्वास्थ्य सेवा & सरकार को लक्षित करने वाला सक्रिय अभियान

खतरनाक तत्व FortiGate Next-Generation Firewall (NGFW) उपकरणों का पीड़ित नेटवर्क में प्रवेश बिंदुओं के रूप में दुरुपयोग कर रहे हैं। यह अभियान स्वास्थ्य सेवा, सरकार और प्रबंधित सेवा प्रदाता वातावरणों को लक्षित करता है, सेवा खाता क्रेडेंशियल और नेटवर्क टोपोलॉजी डेटा वाले कॉन्फ़िगरेशन फ़ाइलों को निकालता है।

SentinelOne के अनुसार, हमलावर हाल ही में प्रकट की गई कमजोरियों — CVE-2025-59718, CVE-2025-59719, और CVE-2026-24858 — या कमजोर क्रेडेंशियल का उपयोग करके FortiGate उपकरणों को समझौता करते हैं। चूंकि ये उपकरण अक्सर भूमिका-आधारित नीति प्रवर्तन के लिए Active Directory और LDAP से जुड़े होते हैं, एक समझौता किया गया उपकरण हमलावरों को पूरी प्रमाणीकरण अवसंरचना की चाबियां सौंप देता है।

एक प्रलेखित घटना में, हमलावरों ने "support" नामक एक धोखाधड़ी वाला स्थानीय व्यवस्थापक खाता बनाया, चार अनुमोदक फ़ायरवॉल नीतियां कॉन्फ़िगर कीं, और बाद में स्पष्ट-पाठ LDAP सेवा खाता क्रेडेंशियल निकालने के लिए कॉन्फ़िगरेशन फ़ाइल को डिक्रिप्ट किया। फिर उन्होंने पता चलने से पहले Active Directory में धोखाधड़ी वाले वर्कस्टेशन पंजीकृत किए।

आवश्यक कार्रवाई: FortiGate उपकरणों को तुरंत नवीनतम फ़र्मवेयर में अपडेट करें। FortiGate से जुड़े सभी सेवा खाता क्रेडेंशियल को बदलें। सभी प्रशासनिक इंटरफेस पर MFA सक्षम करें। अनधिकृत खाता निर्माण और फ़ायरवॉल नीति परिवर्तनों की निगरानी करें।


2. KadNap बॉटनेट ने 14,000+ ASUS राउटर हाईजैक किए

🚨 गंभीर — 14,000+ उपकरण समझौता किए गए, 60% अमेरिका में

KadNap नामक एक नए मैलवेयर ने 14,000+ एज नेटवर्किंग उपकरणों — मुख्य रूप से ASUS राउटर — को एक स्टेल्थ प्रॉक्सी बॉटनेट चलाने के लिए संक्रमित किया है। 60% से अधिक पीड़ित संयुक्त राज्य अमेरिका में हैं।

Lumen में Black Lotus Labs द्वारा खोजा गया, KadNap अपनी कमांड-एंड-कंट्रोल अवसंरचना को पीयर-टू-पीयर नेटवर्क के भीतर छिपाने के लिए Kademlia Distributed Hash Table (DHT) प्रोटोकॉल के एक कस्टम संस्करण का उपयोग करता है, जिससे यह टेकडाउन प्रयासों के खिलाफ अत्यधिक लचीला हो जाता है।

समझौता किए गए उपकरणों को Doppelgänger (Faceless प्रॉक्सी नेटवर्क का रीब्रांड) नामक प्रॉक्सी सेवा में डाला जाता है, जो 50+ देशों में "100% अनाम" रेजिडेंशियल प्रॉक्सी बेचती है। मैलवेयर ARM और MIPS प्रोसेसर को लक्षित करता है, cron jobs के माध्यम से स्थायित्व स्थापित करता है, और उपचार रोकने के लिए पोर्ट 22 पर SSH एक्सेस को सक्रिय रूप से बंद करता है।

विवरणजानकारी
संक्रमित उपकरण14,000+
प्राथमिक लक्ष्यASUS राउटर
अमेरिकी पीड़ित60%+
C2 प्रोटोकॉलकस्टम Kademlia DHT (P2P)
प्रॉक्सी सेवाDoppelgänger (Faceless रीब्रांड)
सक्रिय तब सेअगस्त 2025

आवश्यक कार्रवाई: ASUS राउटर फ़र्मवेयर तुरंत अपडेट करें। अनधिकृत cron jobs और अज्ञात प्रक्रियाओं की जांच करें। यदि समझौता हुआ है, तो उपकरण को फ़ैक्टरी-रीसेट करें। ज्ञात C2 IP 212.104.141.140 को ब्लॉक करें।


3. Microsoft मार्च 2026 Patch Tuesday: 2 Zero-Days, 79 कमजोरियां

⚠️ अभी पैच करें — 2 सार्वजनिक रूप से प्रकट Zero-Days

Microsoft के मार्च 2026 Patch Tuesday में 79 सुरक्षा खामियां शामिल हैं, जिनमें 2 सार्वजनिक रूप से प्रकट zero-day कमजोरियां और 3 गंभीर-रेटेड समस्याएं शामिल हैं। दो गंभीर रिमोट कोड निष्पादन बग Microsoft Office को प्रभावित करते हैं और प्रीव्यू पेन के माध्यम से ट्रिगर किए जा सकते हैं।

इस महीने के पैच चक्र से मुख्य हाइलाइट्स:

Copilot से संबंधित कमजोरी (CVE-2026-26144) विशेष रूप से उल्लेखनीय है — यह एक नए हमले वेक्टर का प्रतिनिधित्व करती है जहां AI सहायकों को उपयोगकर्ता इंटरैक्शन के बिना डेटा निकालने के लिए हथियार बनाया जा सकता है। यह AI-सक्षम हमले की सतह का एक पूर्वसंकेत है जिसका संगठन अब सामना करते हैं।

आवश्यक कार्रवाई: सभी मार्च 2026 पैच तुरंत तैनात करें। प्रीव्यू पेन शोषण के कारण Office अपडेट को प्राथमिकता दें। Copilot Agent अनुमतियों की समीक्षा करें और नेटवर्क एग्रेस क्षमताओं को सीमित करें।


4. BlackSanta EDR किलर HR विभागों को लक्षित करता है

⚠️ सक्रिय अभियान — रूसी-भाषी खतरनाक तत्व

एक वर्ष से अधिक समय से चल रहा एक परिष्कृत अभियान रिज्यूमे के रूप में प्रच्छन्न दुर्भावनापूर्ण ISO फ़ाइलों के साथ स्पीयर-फ़िशिंग ईमेल के माध्यम से HR विभागों को एक नया EDR किलर जिसे BlackSanta कहा जाता है वितरित करता है।

हमले की श्रृंखला अत्यधिक भ्रामक है: ISO फ़ाइलों में PDF के रूप में प्रच्छन्न एक Windows शॉर्टकट, एक PowerShell स्क्रिप्ट, और स्टेगनोग्राफ़ी के माध्यम से दुर्भावनापूर्ण कोड छिपाने वाली एक छवि होती है। निकाला गया कोड एक वैध SumatraPDF निष्पादन योग्य के माध्यम से DLL sideloading का उपयोग करता है, व्यापक sandbox और VM पहचान करता है, फिर BlackSanta तैनात करता है।

BlackSanta व्यवस्थित रूप से endpoint पहचान को अक्षम करता है:

आवश्यक कार्रवाई: HR टीमों को रिज्यूमे-आधारित फ़िशिंग हमलों के बारे में सतर्क करें। ईमेल गेटवे पर ISO फ़ाइल अटैचमेंट ब्लॉक करें। अनधिकृत Defender अपवाद परिवर्तनों की निगरानी करें। एप्लिकेशन allowlisting लागू करें।


5. HPE गंभीर AOS-CX प्रमाणीकरण बायपास

🚨 गंभीर — प्रमाणीकरण के बिना एडमिन पासवर्ड रीसेट

HPE ने CVE-2026-23813 पैच किया है, Aruba Networking AOS-CX ऑपरेटिंग सिस्टम में एक गंभीर प्रमाणीकरण बायपास जो अप्रमाणित रिमोट हमलावरों को CX-सीरीज़ कैम्पस और डेटा सेंटर स्विच पर एडमिनिस्ट्रेटर पासवर्ड रीसेट करने की अनुमति देता है।

कमजोरी वेब-आधारित प्रबंधन इंटरफ़ेस में मौजूद है और शोषण के लिए केवल कम-जटिलता वाले हमलों की आवश्यकता होती है। उजागर प्रबंधन इंटरफेस वाले HPE AOS-CX स्विच चलाने वाला कोई भी संगठन तत्काल जोखिम में है।

पैचिंग में देरी होने पर शमन उपाय:


6. APT28 ने यूक्रेनी सेना के खिलाफ BEARDSHELL & COVENANT तैनात किया

रूस का APT28 (Fancy Bear / GRU यूनिट 26165) यूक्रेन के खिलाफ अपना साइबर जासूसी अभियान जारी रखता है, अप्रैल 2024 से यूक्रेनी सैन्य कर्मियों की दीर्घकालिक निगरानी के लिए दो इम्प्लांट — BEARDSHELL और COVENANT — तैनात कर रहा है।

ESET रिपोर्ट करता है कि शस्त्रागार में SLIMAGENT भी शामिल है, जो कीलॉगिंग, स्क्रीनशॉट कैप्चर और क्लिपबोर्ड डेटा संग्रह में सक्षम है। यह अभियान रूस-यूक्रेन संघर्ष के निरंतर साइबर आयाम और सैन्य संचार के लगातार लक्ष्यीकरण को रेखांकित करता है।


7. Zombie ZIP तकनीक सुरक्षा उपकरणों को चकमा देती है

"Zombie ZIP" नामक एक नई तकनीक हमलावरों को विशेष रूप से तैयार की गई संपीड़ित फ़ाइलों में दुर्भावनापूर्ण payload छिपाने की अनुमति देती है जो एंटीवायरस और EDR पहचान को बायपास करती हैं। तकनीक इस अंतर का शोषण करती है कि सुरक्षा उपकरण और वैध आर्काइव सॉफ़्टवेयर ZIP फ़ाइलों को कैसे पार्स करते हैं, अंधे स्थान बनाते हैं जिनसे मैलवेयर गुजर सकता है।

आवश्यक कार्रवाई: सुनिश्चित करें कि सुरक्षा उपकरण नेस्टेड और विकृत आर्काइव प्रारूपों का निरीक्षण कर सकते हैं। अंतिम उपयोगकर्ताओं को वितरण से पहले सभी संपीड़ित फ़ाइल अटैचमेंट को sandbox करने पर विचार करें।


8. CISA: Ivanti EPM खामी सक्रिय शोषण के तहत

CISA ने जंगल में सक्रिय शोषण की पुष्टि के बाद हाल ही में पैच की गई Ivanti Endpoint Manager (EPM) कमजोरी को अपने ज्ञात शोषित कमजोरियों (KEV) कैटलॉग में जोड़ा है। Ivanti EPM चलाने वाले संगठनों को तुरंत पैचिंग को प्राथमिकता देनी चाहिए।

Ivanti कमजोरियों को तेजी से हथियार बनाने का पैटर्न जारी है — यह गंभीर Ivanti खामियों की लंबी श्रृंखला में नवीनतम है जो दिनों के भीतर प्रकटीकरण से शोषण तक पहुंच जाती हैं।


9. BeatBanker Android मैलवेयर Starlink ऐप का रूप धारण करता है

BeatBanker नामक एक नया Android बैंकिंग ट्रोजन नकली Google Play Store वेबसाइटों के माध्यम से वितरित किया जा रहा है, Starlink एप्लिकेशन का रूप धारण करता है। इंस्टॉल होने के बाद, मैलवेयर बैंकिंग क्रेडेंशियल और वित्तीय लेनदेन को इंटरसेप्ट करने के लिए उपकरणों को हाईजैक करता है।

आवश्यक कार्रवाई: केवल आधिकारिक Google Play Store से ऐप इंस्टॉल करें। Google Play Protect सक्षम करें। उपयोगकर्ताओं को नकली ऐप स्टोर के बारे में शिक्षित करें।


10. Windows के लिए Microsoft Entra Passkey समर्थन

एक सकारात्मक नोट पर, Microsoft Windows उपकरणों पर Microsoft Entra के लिए passkey समर्थन रोल आउट कर रहा है, Windows Hello के माध्यम से फ़िशिंग-प्रतिरोधी पासवर्ड-रहित प्रमाणीकरण सक्षम करता है। यह पासवर्ड-आधारित हमलों को समाप्त करने की दिशा में एक महत्वपूर्ण कदम है — संगठनों को Entra passkey तैनाती की योजना बनाना शुरू करना चाहिए।


अन्य शीर्षक

समाचारप्रभाव
उत्तर कोरियाई UNC4899 ने क्रिप्टो फर्म का उल्लंघन कियाट्रोजनाइज़्ड AirDrop फ़ाइल + living-off-the-cloud तकनीकें क्रिप्टोकरेंसी में लाखों चुराती हैं
Windows 10 KB5078885 ESU जारीWindows 10 के लिए विस्तारित सुरक्षा अपडेट मार्च Patch Tuesday कमजोरियों को संबोधित करता है जिसमें 2 zero-days शामिल हैं
दुर्भावनापूर्ण npm पैकेज OpenClaw का रूप धारण करता हैपैकेज RAT तैनात करता है और macOS क्रेडेंशियल, SSH कुंजियां, क्रिप्टो वॉलेट और iMessage इतिहास चुराता है

KENSAI आपकी कैसे रक्षा करता है

एज डिवाइस मॉनिटरिंग — हमलावरों के गहराई में जाने से पहले समझौता किए गए FortiGate, ASUS और HPE उपकरणों का पता लगाएं

पैच इंटेलिजेंस — प्रकटीकरण के घंटों के भीतर Microsoft, Ivanti और नेटवर्क अवसंरचना के लिए प्राथमिकता CVE ट्रैकिंग

EDR अखंडता जांच — endpoint सुरक्षा कॉन्फ़िगरेशन में BlackSanta-शैली की छेड़छाड़ की पहचान करें

AI सुरक्षा मुद्रा — CVE-2026-26144 जैसे डेटा निकासी वेक्टर को रोकने के लिए Copilot और AI एजेंट अनुमतियों की निगरानी करें


अनुशंसित कार्रवाइयां

  1. तत्काल: FortiGate को नवीनतम फ़र्मवेयर में पैच करें। Microsoft मार्च 2026 पैच तैनात करें। HPE AOS-CX स्विच अपडेट करें।
  2. आज: ASUS राउटर में KadNap संकेतकों की जांच करें। FortiGate से जुड़े सभी सेवा खाता क्रेडेंशियल बदलें। Copilot Agent नेटवर्क एग्रेस सेटिंग्स की समीक्षा करें।
  3. इस सप्ताह: ईमेल गेटवे पर ISO अटैचमेंट ब्लॉक करें। Ivanti EPM तैनाती का ऑडिट करें। Entra passkey रोलआउट की योजना बनाएं।
  4. निरंतर: EDR छेड़छाड़ पैटर्न की निगरानी करें। HR टीमों को रिज्यूमे-आधारित फ़िशिंग के बारे में जानकारी दें। नेटवर्क उपकरण प्रबंधन के लिए zero-trust लागू करें।