SmarterToolsは、同社インフラへの最近の侵入に関する包括的な回顧を公開し、攻撃者の侵入経路とその後の動きを綿密に詳述した。侵入は、長期間にわたりパッチが適用されないまま放置されていた単独の仮想メールサーバーから始まっており、この重大な見落としが攻撃の主要な入口となった。
ネットワーキング
企業側の開示によれば、ネットワーク構成はSmarterMailプラットフォームを稼働させる約30台のサーバーで構成されていた。スタッフの一人が独自に導入した特定のインスタンスが、定例のセキュリティ更新を回避してしまい、攻撃者が内部ネットワークの一部に足場を築くことを可能にした。注目すべき点として、主要Webサイト、調達システム、顧客ポータルを含むミッションクリティカルなサービスは稼働を維持し、侵害も受けておらず、ユーザー認証情報と中核業務アプリケーションも影響を免れた。
攻撃は、企業オフィスのネットワークと、ラボ環境およびカスタマーサポートシステムを収容する独立したデータ処理施設にまで及んだ。Windowsベースのサーバー約12台が影響を受けた一方、Linuxベースのシステムは無傷のままだった。侵害されたインフラの一部は、検知のわずか6時間前に取得されていたバックアップを用いて復旧に成功した。異常な活動が確認されると、厳格なフォレンジック監査を実施するため、両拠点の全サーバーは即座に切り離された。
侵害後、インフラは大規模なアーキテクチャ変革を遂げた。組織は可能な限りWindows環境への依存を大幅に減らし、Active Directoryサービスを完全に撤廃した。さらに、ネットワーク全体で必須のグローバルパスワードリセットが実施された。SmarterToolsは、脆弱性の特定とデータ暗号化の試みの阻止において重要な役割を果たしたSentinelOneセキュリティスイートの有効性を特に称賛した。
SmarterToolsは、重要な修正が2026年1月15日にリリースされたSmarterMail 9518ビルドに組み込まれていることを顧客に改めて周知した。続くビルド9526では、さらなる改善が導入され、内部監査で特定された軽微なセキュリティ上の不整合が解消された。開発者は、段階的なセキュリティ更新であっても、サービス拒否攻撃の予防やサーバー過負荷の緩和において極めて重要であると強調している。
アナリストはまた、Warlock Groupとして特定された敵対的集団の行動パターンをさらに詳述した。初期侵入後、これらの攻撃者は通常、活動を開始する前に6〜7日間休眠状態を維持する。その結果、更新プログラムの導入後であっても一部の侵害が発生した。同グループの主目的は、Active Directoryのドメインコントローラーを掌握し、偽のアカウントを作成し、Windowsベースのサーバー全体にリモートアクセスツールとランサムウェアを拡散することにある。彼らは通常、共有フォルダー、AppData、ProgramData、SmarterMailディレクトリ内に悪意あるバイナリを隠匿し、ランダムな命名と欺瞞的なサービスタスクを用いて検知を回避する。
SmarterToolsは、この種の集団が企業向けコラボレーションプラットフォームやバックアップシステムを含む多様な製品群にわたって脆弱性を積極的に悪用していると指摘した。これらの脅威は、サーバー上に以前から存在していた一見正当なアプリケーションとして現れることが多い。現時点で開発元は、SmarterMailに重大な脆弱性は存在しないと報告しており、セキュリティアドバイザリの透明性を高めることを約束するとともに、サポートの応答時間が数日から数時間へと大幅に短縮されたことを明らかにした。
