SmarterTools社、SmarterMailの脆弱性を経由してネットワーク侵害を報告
SmarterTools社は先週、Warlockランサムウェアグループが同社のネットワークに侵入したことを確認しました。この侵害は、従業員がセットアップした単一のSmarterMail仮想マシン(VM)が侵害されたことに起因します。同社は、事業アプリケーションや顧客アカウントデータへの影響はなかったと断言していますが、オフィスネットワーク内の12台のWindowsサーバーと、ラボテストおよびホスティングに使用されるセカンダリデータセンターが侵害されたことを認めています。
同社の最高商務責任者であるDerek Curtis氏によると、脆弱なメールサーバーがパッチ未適用であったため、攻撃者がこれを利用してネットワークに侵入しました。攻撃者は、この脆弱なVMからActive Directoryを介して横方向に移動し、Windowsに特化したツールや永続化手法を展開しました。なお、同社のインフラの大部分を占めるLinuxサーバーは、この攻撃による侵害を受けませんでした。
攻撃に悪用された脆弱性:CVE-2026-23760
攻撃に悪用された脆弱性は、SmarterMailのBuild 9518より前のバージョンに存在する認証バイパスの欠陥「CVE-2026-23760」です。この脆弱性により、管理者のパスワードをリセットし、完全な権限を取得することが可能になります。
- ReliaQuestの報告によると、攻撃グループは認証バイパスに加え、SmarterMailの「ボリュームマウント」機能を利用して、システム全体の制御を確立しました。
- CISAがランサムウェア攻撃で活発に悪用されていると警告したもう一つのSmarterMailの脆弱性「CVE-2026-24423」の探査も確認されています。
研究者らは、CVE-2026-24423がより直接的なリモートコード実行(RCE)経路を提供する一方で、CVE-2026-23760は正規の管理活動に紛れ込みやすく、より静かに攻撃を実行できるため、攻撃者は後者を選択した可能性が高いと指摘しています。
Warlockランサムウェアグループ(Storm-2603)による攻撃
SmarterTools社は、攻撃がWarlockランサムウェアグループによって実行されたと報告しています。このグループは、以前にも同様の活動で顧客のマシンに影響を与えています。
- Halcyonサイバーセキュリティ企業は、2025年10月にWarlockランサムウェアグループを中国政府系ハッカー集団「Storm-2603」と関連付けており、ReliaQuestもこの関連性を「中程度の確信度」で確認しています。
- 攻撃で使用されたツールには、Velociraptor、SimpleHelp、および脆弱なバージョンのWinRARが含まれ、永続化のためにはスタートアップ項目とスケジュールされたタスクが利用されました。
攻撃者は初期アクセスを得てから約1週間後に、すべてのアクセス可能なマシンを暗号化する最終段階に進んだものの、Sentinel Oneのセキュリティ製品がこの最終ペイロードを阻止し、暗号化は実行されませんでした。
SmarterTools社の対応と管理者に推奨される対策
SmarterTools社は、影響を受けたシステムを隔離し、新しいバックアップからデータを復元することで対応しました。すべてのSmarterMail製品の脆弱性に対処するため、管理者はBuild 9511以降への早急なアップグレードを強く推奨されています。これは、認証バイパスやリモートコード実行の脆弱性からシステムを保護するために不可欠です。