Source: https://www.bleepingcomputer.com/news/security/hackers-breach-smartertools-network-using-flaw-in-its-own-software/

Original Title: Hackers breach SmarterTools network using flaw in its own software

Published (UTC): 2026-02-09T10:08:58+00:00

要旨(日本語)

・SmarterToolsはWarlockランサムウェアによる侵害を確認。侵入は1月29日、従業員が設置した未更新のSmarterMail仮想マシン(VM)経由で発生。
・同社ネットワークには約30台のSmarterMailサーバ/VMが存在したが、把握漏れの1台が更新されず、それが初期侵入点となった。
・攻撃者はActive Directoryを用いて横展開し、Windows系ツールと永続化手法を使用。Linuxサーバ(インフラの大半)は侵害を免れた。
・影響はオフィスネットワークのWindowsサーバ12台と、ラボ/品質管理/ホスティング用途のセカンダリデータセンターに及ぶ。顧客データや業務アプリは直接の影響なし。
・悪用された脆弱性はCVE-2026-23760(SmarterMail Build 9518未満の認証回避)で、管理者パスワードのリセットと特権取得が可能。
・Warlockは初期侵入から約1週間後に暗号化を試みたが、SentinelOne製品が最終ペイロードの実行を阻止。影響端末は隔離し、最新バックアップから復旧。
・使用ツールにはVelociraptor、SimpleHelp、脆弱なWinRARが含まれ、スタートアップ項目やタスクスケジューラによる永続化も確認。Cisco TalosはVelociraptor悪用を過去に報告。
・Halcyon(2025年10月)はWarlockを中国の国家系アクターStorm-2603に関連付け。ReliaQuestも「中〜高い確度」で同グループ関与を確認。
・ReliaQuestによれば、CVE-2026-23760の認証回避にSmarterMailのビルトインVolume Mount機能を連鎖させ、完全制御を獲得。侵入後にVelociraptorを導入して持続化とランサム準備を実施。
・CVE-2026-24423(CISAが最近アクティブ悪用を注意喚起)への探索も観測。ただし主な侵入経路はCVE-2026-23760。24423はAPI経由のRCEが直接的、23760は管理操作に紛れやすい特性。
・対応策としてSmarterMailはBuild 9511以降への早期アップグレードを推奨。
・同様の活動が一部顧客環境にも波及。未管理資産とパッチ遅延が組織横断の侵害リスクを増大させたことが示唆される。