SmarterTools подтвердила взлом сети группой Warlock через уязвимость в почтовой системе. Данные клиентов не пострадали, но были скомпрометированы серверы Windows. Атака использовала CVE-2026-23760. — bleepingcomputer.com
Компания SmarterTools на прошлой неделе подтвердила, что группа вымогателей Warlock проникла в ее сеть после компрометации электронной почты, однако это не затронуло бизнес-приложения или данные учетных записей.
Коммерческий директор компании Дерек Кертис сообщил, что вторжение произошло 29 января через одну виртуальную машину (VM) SmarterMail, установленную сотрудником.
«До взлома у нас было около 30 серверов/VM с установленным SmarterMail по всей сети», — пояснил Кертис.
«К сожалению, мы не знали об одной VM, установленной сотрудником, которая не обновлялась. В результате этот почтовый сервер был скомпрометирован, что привело к взлому».
Хотя SmarterTools уверяет, что данные клиентов не пострадали напрямую от этого взлома, было подтверждено, что были скомпрометированы 12 серверов Windows в офисной сети компании, а также вторичный центр обработки данных, используемый для лабораторных испытаний, контроля качества и хостинга.
Злоумышленники перемещались по сети из этой уязвимой VM через Active Directory, используя инструменты и методы обеспечения постоянства, ориентированные на Windows. Серверы Linux, составляющие большинство инфраструктуры компании, не были скомпрометированы этой атакой.
Уязвимость, использованная для получения доступа, — это CVE-2026-23760, лазейка для обхода аутентификации в SmarterMail до сборки 9518, которая позволяет сбрасывать пароли администраторов и получать полные привилегии.
SmarterTools сообщает, что атаки были проведены группой вымогателей Warlock, которая также затронула клиентские машины, используя аналогичную активность.
Операторы вымогателей ждали около недели после получения первоначального доступа, а финальным этапом была шифровка всех доступных машин.
Однако в данном случае продукты безопасности Sentinel One, по сообщениям, остановили финальный вредоносный код от выполнения шифрования, затронутые системы были изолированы, а данные восстановлены из свежих резервных копий.
Среди инструментов, использованных в атаках, — Velociraptor, SimpleHelp и уязвимые версии WinRAR, а для обеспечения постоянства использовались элементы автозагрузки и запланированные задачи, согласно данным компании.
Cisco Talos ранее сообщала, что злоумышленники злоупотребляли инструментом для расследования инцидентов (DFIR) с открытым исходным кодом Velociraptor.
В октябре 2025 года кибербезопасная компания Halcyon связала группу вымогателей Warlcok с китайским государственным актором, отслеживаемым как Storm-2603.
ReliaQuest опубликовала отчет сегодня утром, подтверждающий, что эта активность связана со Storm-2603 с умеренной или высокой степенью уверенности.
«Хотя эта уязвимость позволяет злоумышленникам обходить аутентификацию и сбрасывать пароли администраторов, Storm-2603 использует этот доступ в сочетании со встроенной функцией программного обеспечения ‘Volume Mount’ для получения полного контроля над системой», — заявили в ReliaQuest.
«После проникновения группа устанавливает Velociraptor, легитимный инструмент для цифровой криминалистики, который она использовала в предыдущих кампаниях, чтобы сохранить доступ и подготовить почву для вымогателей».
ReliaQuest также зафиксировала попытки эксплуатации CVE-2026-24423, еще одной уязвимости SmarterMail, отмеченной CISA как активно используемая акторами вымогателей на прошлой неделе, хотя основным вектором была CVE-2026-23760.
Исследователи отмечают, что CVE-2026-24423 предоставляет более прямой API-путь для достижения удаленного выполнения кода, но CVE-2026-23760 может быть менее заметной, вписываясь в легитимную административную деятельность, поэтому Storm-2603 мог выбрать именно ее.
Для устранения всех недавних уязвимостей в продукте SmarterMail администраторам рекомендуется как можно скорее обновиться до сборки 9511 или более поздней.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas