SmarterMail: волна атак шифровальщиками через вашу корпоративную почту уже на пороге

Описание уязвимостей

Хакеры перестали изобретать велосипед.

Они бьют в самое больное — в корпоративную почту. Это же идеальный вход: через неё идут финансовая документация, доступ к календарям, контакты, а часто и связка с доменом. И вот свежая напасть: две критические дыры в SmarterMail — CVE-2026-23760 и CVE-2026-24423. Злоумышленники уже вовсю сканируют интернет в поисках уязвимых серверов, и я подозреваю, что волна атак шифровальщиками накроет нас со дня на день. В этой статье я расскажу не только о технических деталях (куда без них), но и о том, как реально защитить свою инфраструктуру, опираясь на практику, шишки и успешные кейсы наших заказчиков.

В общем, если ваш бизнес использует SmarterMail (особенно старые версии) — пристегнитесь. Будет жёстко, но полезно.

🎯 Тревожный чемоданчик: что вообще происходит?

Знаете, в чём коварство этих атак? Они не громят всё подряд с порога. Это как диверсант, который тихо проникает на склад, переодевается в форму охраны и ходит среди своих, пока не получит команду «фас». В случае со SmarterMail злоумышленники используют цепочку уязвимостей, которые позволяют им сначала войти, а потом закрепиться.

По моему опыту работы в SOC, самый опасный сценарий — это когда атакующий получает контроль над сервером с правами SYSTEM. Это практически "бог" в системе. Он может всё. И методы, которые сейчас обсуждаются в профессиональном сообществе (Storm-2603, если интересно отслеживать по MITRE), показывают высокий уровень подготовки.

Если говорить максимально просто: хакеры находят ваш почтовый сервер в интернете, дёргают специальные ручки (API), не спрашивая пароль, меняют пароль администратора и запускают вредоносные команды. А дальше — классика: скачивают инструменты для удалённого управления (C2) и готовят почву для развёртывания шифровальщика Warlock. И вот тут самое интересное: Warlock — не единственный вариант. Это просто пример. Может прилететь что угодно.

По правде, это раздражает. Раздражает, что крупные компании до сих пор держат критически важные сервисы с устаревшим ПО, открытыми наружу портами и без малейшей сегментации. И платят потом миллионы.

🕵️ Технический разбор: как именно взламывают почту

Ладно, давайте копнём глубже. Для тех, кто любит понимать механику. Чтобы защититься, нужно знать врага в лицо.

Уязвимость CVE-2026-23760: обход аутентификации при сбросе пароля

Это классическая ошибка broken access control. Представьте, что вы приходите в банк, подходите к окошку и говорите: «Я Иванов, дайте мне ключ от сейфа, я свой». А кассир, не спрашивая документы, просто отдаёт ключ. Примерно так работает эта дыра в версиях SmarterMail до 9511.

Атакующий отправляет специально сформированный API-запрос на сброс пароля, и система назначает нового администратора, не проверяя старый пароль. Вуаля — доступ получен. Что любопытно, это не какая-то сложная эксплуатация на уровне памяти. Это просто ошибка в логике приложения. Разработчики не проверили, что сбрасывать пароль может только авторизованный пользователь.

Уязвимость CVE-2026-24423: эксплуатация через API ConnectToHub

Вторая дыра работает через другой API — ConnectToHub. Она позволяет выполнять произвольные команды на сервере. В связке с первой уязвимостью это вообще гремучая смесь. Получив права администратора, злоумец дёргает второй API и внедряет команды.

На практике это выглядит как цепочка:

1. Смена пароля администратора (CVE-2026-23760).
2. Использование Volume Mount для command injection. Это особенность, позволяющая подмонтировать папки и выполнить там код.
3. Запуск msiexec для скачивания и установки MSI-пакета (например, v4.msi, который хакеры хостят на Supabase).
4. Установка легитимного, но опасного инструмента Velociraptor в качестве командного центра (C2).
5. Подготовка к развёртыванию ransomware (Warlock).

💣 Точки входа и векторы: где у вас болит

Коллеги, давайте честно: большинство российских компаний до сих пор живут с принципом «авось пронесёт». Но хакеры сканируют интернет постоянно. И точки входа у них стандартные.

• Интернет-доступные серверы SmarterMail версий ниже 9511. Это открытая дверь. Если ваш почтовик виден извне (а иначе как почта будет работать?) и на нём старый софт — вы в группе риска.
• Volume Mount с правами службы. Сама фича полезная, но когда она доступна для выполнения произвольных команд — это катастрофа.
• API-запросы без аутентификации. Вот это отдельная песня. Разработчики часто доверяют внутренним вызовам, забывая, что эти же вызовы можно подделать извне.
• Сканирование Shodan-подобными инструментами. Хакеры не гадают. Они просто заходят на Shodan, вбивают "SmarterMail" и получают готовый список целей. И это легальный сервис, между прочим.

💸 Последствия: не только деньги, но и репутация

Многие думают: «Ну, заблокируют почту на денёк, восстановим из бэкапов». Ага, щас. По моему опыту, реальные последствия гораздо глубже.

1. Полный контроль над сервером (RCE с правами SYSTEM). Это значит, что атакующий может читать всю вашу переписку, в том числе конфиденциальную. Представьте, что у вас в почте лежат сканы паспортов сотрудников, договоры с контрагентами, финансовые отчёты.
2. Латеральное перемещение. Почтовый сервер редко живёт в вакууме. Обычно он доверяет домен-контроллеру, а тот доверяет ему. Хакеры через легитимный процесс MailService.exe запускают cmd.exe и начинают шарить по сети. И это выглядит как обычная активность администратора!
3. Скрытое присутствие C2 (Velociraptor). Velociraptor — мощный инструмент для расследования инцидентов, но в руках хакеров он становится идеальным бэкдором. Он легитимный, подписанный, и многие EDR его не трогают. Время нахождения внутри сети (dwell time) может растянуться на недели.
4. Шифрование данных (Warlock). И финал — шифровальщик. Даунтайм почты парализует бизнес. Потеря данных, финансовые потери от выкупа и просто остановка работы. А если у вас КИИ? Там вообще отдельный разговор с ФСТЭК потом будет.

🛡️ Фактические методы защиты: от теории к практике

Итак, хватит пугать. Давайте думать, как защищаться. Я разделю меры на три больших блока: технические, организационные и процессные. Это как в гигиене: мыть руки, чистить зубы и регулярно ходить к врачу.

Технические меры

Это то, что должны сделать ваши админы и специалисты ИБ.

• Обновление, обновление и ещё раз обновление. Это база, которую почему-то игнорируют. Нужно срочно обновить SmarterMail до версии 9511 и выше. Там закрыта дыра с обходом аутентификации. И обязательно поставить патчи для CVE-2026-24423. Не откладывайте на пятницу вечером.
• Сегментация сети. Это как проверить проводку ночью: всё тихо, пока не искрит. Вынесите почтовый сервер в отдельный VLAN. Изолируйте его от домен-контроллеров, бухгалтерских баз и систем, где хранятся коммерческие тайны. Если хакеры заходят на почту, они не должны сразу получить доступ к AD.
• Фильтрация исходящего трафика. Настройте брандмауэр на жёсткий egress-фильтр. Разрешите серверу общаться только по необходимым протоколам (SMTP, IMAP, POP3) с конкретными IP-адресами почтовых релеев. Заблокируйте всё, что уходит в облака (Supabase, GitHub, AWS S3) и на неизвестные эндпоинты. Это отрежет путь для скачивания вредоносных MSI-пакетов.
• Мониторинг. Включите логирование всего подряд. Анализируйте аномальные API-вызовы. Если вы видите ConnectToHub или Volume Mount откуда-то извне — это триггер. Следите за процессом msiexec, запущенным от MailService.exe. Это ненормально. И конечно, мониторьте сетевую активность на предмет Velociraptor.

Организационные меры

Тут уже вопросы управления и политик.

• Инвентаризация. Проведите ревизию. Сколько у вас вообще экземпляров SmarterMail, которые торчат в интернет? Часто бывает, что в филиале поставили тестовый сервер, забыли, и он висит годами.
• Политика отключения ненужного. Если какая-то API-фича не используется (например, тот же Volume Mount), её нужно отключить. Меньше поверхность для атаки — спокойнее сон.

Процессные меры

Это то, как вы живёте изо дня в день.

• Регулярный аудит логов. Не просто собирать, а смотреть. Раз в неделю проверяйте логи на признаки сканирования или эксплуатации. Следите за CISA KEV-каталогом (Known Exploited Vulnerabilities). С 5 февраля 2026 CVE-2026-24423 уже в списке активно эксплуатируемых. Это мандат на патчинг для американских федералов, но и нам хороший ориентир.
• План реагирования. Должен быть чёткий план: что делать, если вы обнаружили компрометацию. Сценарий: сканирование на наличие Velociraptor, проверка всех недавних MSI-загрузок, отключение сервера от сети (аккуратно, чтобы не уничтожить улики).

📚 Best Practices и стандарты: на что опираться

В своей работе я люблю опираться на проверенные фреймворки. Это как карта местности.

• NIST SP 800-53: Контроли AC-2 (управление учётными записями) и SI-2 (исправление недостатков). Проще говоря: принудительное обновление и сегментация — это не моя прихоть, это требование стандарта.
• CIS Benchmarks for Windows Server: Контроль 9.1 (правила файрвола) и 5.4 (ограничение служб). Настройте сервер по CIS, и половина проблем отпадёт.
• OWASP Top 10: А01:2021 Broken Access Control — наша история. Принцип наименьших привилегий (principle of least privilege) и валидация всех входных данных. Это про API.
• MITRE ATT&CK: Отслеживайте тактики и техники группы Storm-2603. T1190 (Exploit Public-Facing Application) — это вход, T1059 (Command and Scripting Interpreter) — выполнение команд. Понимание их тактик помогает строить защиту.
• CISA Known Exploited Vulnerabilities (KEV): Обязательно к мониторингу. Если уязвимость там, значит, её жуют все кому не лень.

🤦 Типовые ошибки при защите: учимся на чужом опыте

Я сам два раза наступал на эти грабли, когда только начинал. И видел кучу примеров у клиентов.

1. Игнорирование обновлений. «У нас стабильная система, не трогай её, а то сломается». Знакомо? Итог: версии ниже 9511 висят, как груша, и рано или поздно к ним придут.
2. Отсутствие сегментации. Компрометация почтового сервера = компрометация всего домена. Всё в одной сети. Blast radius (радиус поражения) максимальный.
3. Слабый egress-фильтр. Фаерволл настроен только на входящий трафик. А исходящий — всё разрешено. Это позволяет хакерам спокойно скачивать полезную нагрузку (MSI с Supabase) и устанавливать C2.
4. Недостаточный мониторинг. Логи собираются, но никто их не смотрит. Или смотрит раз в полгода. Аномальные API-вызовы проходят незамеченными, и атакующие спокойно готовят развёртывание шифровальщика.
5. Зависимость только от сигнатур. Современные атаки часто используют легитимные инструменты (Living off the Land). Velociraptor — легитимный, msiexec — легитимный. Антивирус по сигнатурам их не видит. Нужно поведенческий анализ и охоту на угрозы (threat hunting).

✅ 10 правил кибербезопасности 2026 для защиты от атак на почтовые серверы

Друзья, специально для Дзена собрал чек-лист, который стоит распечатать и повесить перед админами.

1. Обновляйся мгновенно. Как только выходит патч для критической уязвимости (особенно если она в KEV), у вас есть 48 часов, чтобы его установить. Иначе вы в красной зоне.
   *Пример: Патч для CVE-2026-23760 вышел месяц назад. Если вы его не поставили — вы цель номер один.*
2. Сегментируй и властвуй. Почтовый сервер должен жить в отдельном сегменте с минимумом прав доступа к остальной сети.
   Пример: Хакер взломал почту, но не видит бухгалтерию. Он в ярости.
3. Души исходящий трафик. Блокируй всё, кроме явно разрешённого. Особенно подключения к неизвестным облачным хранилищам.
   Пример: Сервер пытается стучаться на странный IP в Сулавеси — режь на корню.
4. Мониторь не только вход, но и поведение. Смотри за процессами: кто запускает msiexec, powershell, cmd.
   Пример: MailService.exe запускает командную строку? Тревога!
5. Инвентаризуй всё, что торчит наружу. Знай каждый свой сервис, доступный из интернета.
   Пример: Раз в квартал проходись по Shodan и ищи свой айпишники. Удивитесь, сколько найдёте.
6. Отключай ненужные API. Не используешь Volume Mount? Выключи. Не жалко.
   Пример: Лишняя дверь в доме — лишний риск взлома.
7. Внедряй принцип минимальных привилегий. У пользователей и сервисов должны быть права ровно настолько, насколько нужно для работы.
   Пример: Если сервису не нужно писать в системную папку — не давай ему писать.
8. Тестируй бэкапы. Бэкапы есть. А восстановиться сможешь? Проверяй регулярно.
   Пример: Шифровальщик зашифровал диск, а бэкап оказался битым. Грустная история.
9. Следи за KEV-каталогом CISA. Это не для галочки. Если уязвимость там, она активно используется. Это сигнал к немедленным действиям.
   Пример: Увидел новую запись в KEV — побежал проверять, не касается ли это тебя.
10. Имей план реагирования. Не надейся на "авось". Распиши пошагово, что делать при компрометации.
    Пример: Отключить сеть? Сохранить логи? Позвать нас? Действуй по плану.

❓ Часто задаваемые вопросы (FAQ)

Вопрос 1: Какие конкретно уязвимости в SmarterMail сейчас самые опасные?
Самые горячие на данный момент — это CVE-2026-23760 (обход аутентификации при сбросе пароля) и CVE-2026-24423 (выполнение команд через API). Они работают в связке и позволяют полностью захватить сервер. Если честно, это не единственные дыры, но именно их сейчас жуют хакеры.

Вопрос 2: Что будет, если мой почтовый сервер взломают?
Самое мягкое — это даунтайм и потеря писем. Самое жёсткое — утечка всей конфиденциальной переписки, компрометация домена, шифрование всех данных и требование выкупа. Плюс репутационные потери. Клиенты и партнёры не любят компании, которые "сливают" их данные.

Вопрос 3: Я обновился до 9511 версии. Я в безопасности?
Обновление закрывает конкретные дыры, но не даёт 100% гарантии. Нужен комплексный подход: обновление + сегментация + мониторинг. Это как прививка: от одного вируса защищает, но нужно мыть руки и носить маску.

Вопрос 4: Какие инструменты мониторинга вы посоветуете для обнаружения таких атак?
Тут не в инструментах дело, а в настройках. Любая SIEM-система (хоть Open Source, хоть коммерческая) справится, если в неё залить правильные логи и настроить корреляцию событий. Важно мониторить запуск msiexec не из системных путей и аномальные вызовы API.

Вопрос 5: Какая самая частая ошибка при защите от атак на почту?
Однозначно — игнорирование обновлений и отсутствие сегментации. Люди экономят на безопасности, а потом платят в 10 раз больше.

Вопрос 6: А если я использую не SmarterMail, а другой почтовый сервер?
Не расслабляйтесь. Атаки на почтовые серверы — это общий тренд. Любое публичное приложение — потенциальная точка входа. Принципы защиты те же: обновления, сегментация, фильтрация, мониторинг.

Вопрос 7: Поможет ли обычный антивирус от таких атак?
Вряд ли. Антивирус ищет известные вредоносные файлы. А тут используются легитимные инструменты (msiexec, Velociraptor) и эксплуатация через API. Это обходит классические сигнатурные методы. Нужен EDR с поведенческим анализом.

Вопрос 8: Что такое CISA KEV и зачем мне за ним следить?
CISA KEV (Known Exploited Vulnerabilities) — это каталог уязвимостей, которые, по данным американского киберкомандования, активно используются хакерами прямо сейчас. Если ваша уязвимость там — значит, по вам уже стреляют.

Вопрос 9: Сколько времени есть у компании на реагирование после выхода патча?
По моему опыту, окно возможностей (время, когда хакеры начинают массово сканировать и эксплуатировать новую дыру) составляет от 48 часов до 2 недель. Патчиться нужно в первые же дни.

Вопрос 10: Нужно ли отключать почтовый сервер от интернета, пока не поставишь патч?
Если есть техническая возможность и вы готовы к простою — это самый безопасный вариант. Если нет — то хотя бы повесьте строгий WAF-правило или временно ограничьте доступ к API по IP-адресам.

Время делать выводы

Коллеги, ситуация с атаками на SmarterMail — это не очередная страшилка от вендоров. Это реальность, которая уже стучится в двери. Я вижу по логам наших систем мониторинга, как растёт количество сканирований. Хакеры готовятся. И волна атак шифровальщиками, боюсь, будет мощной.

Защита строится на трёх китах: гигиена (обновления), архитектура (сегментация) и видимость (мониторинг). Не надейтесь на чудо. Проверьте свои почтовые серверы прямо сейчас. Какая версия SmarterMail у вас стоит? Открыт ли он в интернет? Настроен ли egress-фильтр?

══════

Больше материалов: Центр знаний SecureDefence.

Оставьте заявку на бесплатную консультацию: [Перейти на сайт]