SmarterToolsは先週、Warlockランサムウェア集団がメールシステムを侵害した後に同社ネットワークへ侵入したことを確認したが、業務アプリケーションやアカウントデータへの影響はなかったと発表した。
同社の最高商務責任者(CCO)であるデレク・カーティス氏によると、侵入は1月29日に発生し、従業員が設定した単一のSmarterMail仮想マシン(VM)を経由して行われたという。
「侵害以前、当社ネットワーク全体にSmarterMailをインストールしたサーバー/VMが約30台ありました」 とカーティス氏は説明した。
「残念ながら、従業員が設定した、更新が行われていないVMが1台あることに気付いていませんでした。その結果、そのメールサーバーが侵害され、侵入につながりました。」
SmarterToolsは、この侵害によって顧客データが直接影響を受けたわけではないと保証しているものの、同社オフィスネットワーク上のWindowsサーバー12台に加え、ラボ試験、品質管理、ホスティングに使用される第2データセンターも侵害されたことが確認された。
攻撃者は、Active Directoryを介してその脆弱なVM1台から横展開し、Windows中心のツールや永続化手法を使用した。同社インフラの大半を占めるLinuxサーバーは、この攻撃では侵害されなかった。
アクセス獲得に悪用された脆弱性は、Build 9518より前のSmarterMailに存在する認証バイパスの欠陥であるCVE-2026-23760で、管理者パスワードのリセットと完全な権限の取得を可能にする。
SmarterToolsは、攻撃はWarlockランサムウェアグループによって実行され、同様の活動により顧客のマシンにも影響が及んだと報告している。
ランサムウェア運用者は初期アクセスを得てからおよそ1週間待ち、最終段階として到達可能なすべてのマシンを暗号化した。
しかしこのケースでは、Sentinel Oneのセキュリティ製品が最終ペイロードによる暗号化の実行を阻止したとされ、影響を受けたシステムは隔離され、データは新しいバックアップから復元された。
同社によると、攻撃で使用されたツールにはVelociraptor、SimpleHelp、脆弱なバージョンのWinRARが含まれ、永続化のためにスタートアップ項目やスケジュールタスクも利用されたという。
Cisco Talosは過去に報告しており 、脅威アクターがオープンソースのDFIRツールであるVelociraptorを悪用していたとしている。
2025年10月、サイバーセキュリティ企業Halcyonは、Warlcokランサムウェア集団を、Storm-2603として追跡されている中国の国家支援アクターに結び付けた。
ReliaQuestは本日早く、活動がStorm-2603に関連していることを中程度から高い確度で確認するレポートを公開した。
「この脆弱性は攻撃者が認証を回避して管理者パスワードをリセットできるようにしますが、Storm-2603はこのアクセスをソフトウェアに組み込まれた『Volume Mount』 機能と連鎖させ、システムを完全に制御します」とReliaQuestは述べた。
「侵入後、同グループは、過去のキャンペーンでも使用してきた正規のデジタル・フォレンジックツールであるVelociraptorをインストールし、アクセスを維持してランサムウェアの準備を整えます。」
ReliaQuestはまた、CVE-2026-23760が主要な侵入経路だったものの、別のSmarterMailの欠陥であるCVE-2026-24423に対する探索も確認した。CVE-2026-24423は、先週ランサムウェア攻撃者によって活発に悪用されているとしてCISAが警告していたものだ。
研究者らは、CVE-2026-24423はリモートコード実行を達成するためのより直接的なAPI経路を提供する一方で、CVE-2026-23760はより目立ちにくく、正当な管理者活動に紛れ込みやすいため、Storm-2603が後者を選んだ可能性があると指摘している。
SmarterMail製品における最近のすべての欠陥に対処するため、管理者にはできるだけ早くBuild 9511以降へアップグレードすることが推奨されている。
