サイバーニュース.jp

世界のサイバーなニュースを配信

WarlockランサムウェアがSmarterToolsを侵害、未パッチのSmarterMailサーバーが標的に

カテゴリ:

はじめに

セキュリティ企業SmarterToolsは先週、Warlock(別名 Storm-2603)ランサムウェアグループによって同社ネットワークが侵害されたことを認めました。この侵害は、未パッチのSmarterMailインスタンスが悪用されたことにより発生しました。

このインシデントは2026年1月29日に発生し、最新バージョンに更新されていなかったメールサーバーが侵害されたことが判明しています。

侵害の詳細と原因

SmarterToolsの最高商務責任者であるDerek Curtis氏によると、同社ネットワーク内には約30台のSmarterMailがインストールされたサーバー/VMが存在しましたが、従業員によって設定され、更新されていなかった1台のVMが標的となりました。この未更新のメールサーバーが侵害されたことで、ネットワーク全体への侵入を許してしまったと説明されています。

SmarterToolsは、同社のウェブサイト、ショッピングカート、マイアカウントポータル、その他の主要サービスには影響がなく、ビジネスアプリケーションやアカウントデータは侵害されなかったと強調しています。しかし、同社のオフィスネットワーク上の約12台のWindowsサーバーと、品質管理(QC)テストに使用されていた二次データセンターが影響を受けました。また、CEOのTim Uzzanti氏によると、SmarterTrackを利用しているホスト顧客も影響を受けたとのことです。

攻撃の手口

SmarterToolsは、Warlockグループが初期アクセス権を獲得した後、数日間潜伏したことを明らかにしました。その後、Active Directoryサーバーを掌握し、新しいユーザーを作成。さらにVelociraptorなどの追加ペイロードを展開し、ファイルの暗号化を実行しました。

  • 攻撃者は通常、アクセス権取得後、6〜7日間待機してから次の行動を起こします。
  • この潜伏期間により、更新後も侵害を受けた顧客が発生するケースがあったとCurtis氏は説明しています。

悪用された脆弱性

現時点では、どのSmarterMailの脆弱性が悪用されたかは明確ではありませんが、以下の複数の脆弱性が積極的に悪用されていることが指摘されています。

  • CVE-2025-52691 (CVSSスコア: 10.0)
  • CVE-2026-23760: 認証バイパスの脆弱性で、特別に細工されたHTTPリクエストを送信することでSmarterMailのシステム管理者パスワードをリセットできる可能性があります。
  • CVE-2026-24423: ConnectToHub APIメソッドの脆弱性を悪用し、認証なしでリモートコード実行(RCE)を可能にするものです。

これらの脆弱性は、SmarterToolsによってビルド9511で対処済みです。

業界の警告と分析

先週、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、CVE-2026-24423がランサムウェア攻撃で積極的に悪用されていることを確認しました。

サイバーセキュリティ企業ReliaQuestは、CVE-2026-23760が悪用され、認証をバイパスしてインターネットに接続されたシステムにランサムウェアペイロードを配置する活動がWarlockグループに関連している可能性が高いと報告しました。この攻撃では、Supabase(正規のクラウドベースバックエンドプラットフォーム)から悪意のあるMSIインストーラー(「v4.msi」)をダウンロードし、Velociraptorをインストールしています。

ReliaQuestの研究者Alexa Feminella氏は、「この脆弱性により、攻撃者は認証をバイパスして管理者パスワードをリセットできますが、Storm-2603はこのアクセスとソフトウェアの『ボリュームマウント』機能を組み合わせて完全なシステム制御を獲得しています。侵入後、グループは以前のキャンペーンでも使用していた正規のデジタルフォレンジックツールであるVelociraptorをインストールし、アクセスを維持してランサムウェア展開の準備をします」と述べています。

攻撃者は、管理者パスワードのリセットやドライブマウントといった正規の機能を悪用することで、RCE(リモートコード実行)パターンに対する検出を回避し、攻撃活動を通常の管理ワークフローに溶け込ませていると分析されています。

SmarterToolsからの推奨事項

SmarterMailのユーザーは、最適な保護のために直ちに最新バージョン(ビルド9526)にアップグレードすることが推奨されています。また、ランサムウェア展開のための横断的移動(ラテラルムーブメント)の試みを阻止するために、メールサーバーを隔離することも推奨されています。

元記事: https://thehackernews.com/2026/02/warlock-ransomware-breaches.html

投稿をさらに読み込む