The Last 24 Hours | 安全无小事

Warlock 勒索软件通过未打补丁的 SmarterMail 服务器入侵 SmarterTools

2026/2/10 恶意软件 The Hacker News

SmarterTools 上周证实,Warlock(亦称 Storm-2603)勒索软件组织通过利用未打补丁的 SmarterMail 实例入侵了其网络。

公司首席商务官 Derek Curtis 表示,事件发生在 2026 年 1 月 29 日,当时一台未更新至最新版本的邮件服务器被攻破。

Curtis 解释说:“在泄露发生前,我们的网络中大约有 30 台安装了 SmarterMail 的服务器/虚拟机。遗憾的是,我们未发现其中一台由员工设置且未进行更新的虚拟机。正是该邮件服务器被攻破,导致了此次泄露。”

然而,SmarterTools 强调,此次泄露未影响其网站、购物车、我的账户门户以及其他多项服务,且没有业务应用或账户数据受到影响或泄露。

公司确认约有 12 台位于办公网络的 Windows 服务器以及用于质量控制(QC)测试的二级数据中心受到影响。首席执行官 Tim Uzzanti 表示,这次“尝试性的勒索软件攻击”同样波及使用 SmarterTrack 的托管客户。

Uzzanti 在社区门户的另一则威胁通报中说:“使用 SmarterTrack 的托管客户受影响最为严重。这并非 SmarterTrack 本身的问题,而是因为在攻击者入侵我们的网络后,该环境比其他环境更容易被访问。”

此外,SmarterTools 承认,Warlock 组织在获得初始访问权限后等待了数天,以控制 Active Directory 服务器并创建新用户,随后投放了包括 Velociraptor 在内的其他载荷以及用于加密文件的锁定程序。

Curtis 说:“一旦这些不法分子获得访问权限,他们通常会安装文件并等待约 6–7 天后再采取进一步行动。这解释了为何部分客户在更新后仍遭受妥协——初始泄露发生在更新之前,但恶意活动在随后被触发。”

目前尚不清楚攻击者利用了哪一项 SmarterMail 漏洞,但值得注意的是,该邮件软件存在多项缺陷——CVE-2025-52691(CVSS 评分:10.0)、CVE-2026-23760 和 CVE-2026-24423(CVSS 评分:9.3)——已在野外被积极利用。

CVE-2026-23760 是一种身份验证绕过漏洞,攻击者可通过特制的 HTTP 请求重置 SmarterMail 系统管理员密码。相对地,CVE-2026-24423 利用 ConnectToHub API 方法的缺陷,实现未认证的远程代码执行(RCE)。

SmarterTools 在 9511 版本中修复了这些漏洞。上周,美国网络安全与基础设施安全局(CISA)确认 CVE-2026-24423 正在被用于勒索软件攻击。

在周一发布的一份报告中,网络安全公司 ReliaQuest 表示,他们发现了可能与 Warlock 相关的活动,涉及利用 CVE-2026-23760 绕过身份验证并在面向互联网的系统上部署勒索软件载荷。攻击者还利用初始访问权限,从合法的云后端平台 Supabase 下载恶意 MSI 安装程序(“v4.msi”),以安装 Velociraptor。

安全研究员 Alexa Feminella 说:“虽然该漏洞允许攻击者绕过身份验证并重置管理员密码,Storm-2603 进一步利用软件内置的‘卷挂载’功能获取完整系统控制权。进入后,组织会安装 Velociraptor——一种他们在先前行动中使用的合法数字取证工具,以维持访问并为勒索软件做准备。”

该安全团队还指出,这两个漏洞的最终结果相同:CVE-2026-23760 通过密码重置 API 提供未认证的管理员访问权限,可结合挂载逻辑实现代码执行;而 CVE-2026-24423 则通过 API 路径直接提供代码执行途径。

攻击者采用前者方法的事实表明,这种手段能够让恶意活动融入常规的管理员工作流,从而帮助他们规避检测。

Feminella 补充说:“通过滥用合法功能(密码重置和驱动挂载),而非仅依赖单一‘嘈杂’的利用手段,攻击者可能降低针对已知 RCE 模式的检测效果。这种武器化速度与勒索软件组织快速分析供应商修补并在发布后不久开发出可行作战手法的趋势相符。”

在被询问关于针对 SmarterTools 的 Warlock 勒索软件活动时,ReliaQuest 向 The Hacker News 表示,他们观察到攻击者在补丁发布后不久,就利用 CVE-2026-23760 攻击运行在 Build 9511 之前版本的未打补丁系统。

该公司在邮件声明中说:“我们确认使用了该特定漏洞,因为我们观察到成功的密码重置请求,其中包含用于接管内置系统管理员账户的特定输入。我们还在同一时间窗口看到与探测第二个漏洞 CVE-2026-24423 相符的 API 调用。然而,成功的密码重置活动确认 CVE-2026-23760 是获取初始访问的手段。”

建议 SmarterMail 用户立即升级至最新版本(Build 9526)以获得最佳防护,并对邮件服务器进行隔离,以阻止用于部署勒索软件的横向移动尝试。

(本文在发布后已更新,加入了 ReliaQuest 的回应。)