SmarterTools ได้ยืนยันว่ากลุ่มแรนซัมแวร์ Warlock (หรือ Storm-2603) ได้เจาะเครือข่ายของบริษัท โดยใช้ประโยชน์จาก SmarterMail ที่ไม่ได้แพตช์ การโจมตีเกิดขึ้นเมื่อวันที่ 29 มกราคม 2026 ผ่านทางเซิร์ฟเวอร์อีเมลที่ไม่ได้อัปเดต ส่งผลกระทบต่อเซิร์ฟเวอร์ Windows 12 เครื่องในเครือข่ายสำนักงานและศูนย์ข้อมูลสำรองสำหรับทดสอบคุณภาพ รวมถึงลูกค้า SmarterTrack ที่โฮสต์ไว้ ผู้โจมตีใช้เวลาหลายวันหลังจากเข้าถึงเบื้องต้นเพื่อควบคุม Active Directory สร้างผู้ใช้ใหม่ และติดตั้งเพย์โหลดเพิ่มเติม เช่น Velociraptor และตัวเข้ารหัสไฟล์ มีการใช้ช่องโหว่ SmarterMail หลายตัว (CVE-2025-52691, CVE-2026-23760, CVE-2026-24423) ที่กำลังถูกโจมตีอย่างต่อเนื่อง
Severity: วิกฤต
System Impact:
- SmarterMail instances (เซิร์ฟเวอร์อีเมลที่ไม่ได้แพตช์)
- Windows servers (12 เครื่องในเครือข่ายสำนักงานของ SmarterTools)
- Secondary data center (ใช้สำหรับการทดสอบคุณภาพ)
- Hosted SmarterTrack customers
- Active Directory server
Technical Attack Steps:
- เข้าถึงเบื้องต้นผ่าน SmarterMail instance ที่ไม่ได้แพตช์ (น่าจะใช้ช่องโหว่ CVE-2026-23760 หรือ CVE-2026-24423).
- รักษาการเข้าถึงและรอเป็นเวลาสองสามวัน.
- บุกรุกเซิร์ฟเวอร์ Active Directory และสร้างผู้ใช้ใหม่.
- ติดตั้งเพย์โหลดเพิ่มเติม โดยเฉพาะการดาวน์โหลด MSI installer ที่เป็นอันตราย (“v4.msi”) จาก Supabase.
- ติดตั้ง Velociraptor ซึ่งเป็นเครื่องมือ forensic ที่ถูกนำไปใช้ในทางที่ผิด เพื่อรักษาการเข้าถึงและเตรียมการโจมตีด้วยแรนซัมแวร์.
- ใช้ประโยชน์จากฟังก์ชัน ‘Volume Mount’ ของ SmarterMail (ร่วมกับ CVE-2026-23760) เพื่อเข้าควบคุมระบบทั้งหมดและรันโค้ดจากระยะไกล.
- ปรับใช้แรนซัมแวร์ Warlock เพื่อเข้ารหัสไฟล์บนเซิร์ฟเวอร์ Windows ที่ได้รับผลกระทบ.
Recommendations:
Short Term:
- อัปเกรด SmarterMail เป็นเวอร์ชันล่าสุด (Build 9526) ทันที.
- แยกเซิร์ฟเวอร์เมลออกจากเครือข่ายเพื่อป้องกันการเคลื่อนที่ในแนวนอนของผู้โจมตี.
Long Term:
- ตรวจสอบให้แน่ใจว่าซอฟต์แวร์ทั้งหมดได้รับการอัปเดตเป็นเวอร์ชันล่าสุดอย่างสม่ำเสมอ.
- นำนโยบายการจัดการแพตช์ที่แข็งแกร่งมาใช้ โดยเฉพาะสำหรับระบบที่เชื่อมต่ออินเทอร์เน็ต.
- ตรวจสอบกิจกรรมที่น่าสงสัยและสัญญาณของการเข้าถึงเบื้องต้นอย่างต่อเนื่อง แม้หลังจากแพตช์แล้ว.
- ทบทวนและรักษาความปลอดภัยการกำหนดค่า Active Directory อย่างสม่ำเสมอ.
- ใช้ Network Segmentation เพื่อจำกัดการเคลื่อนที่ในแนวนอนของผู้โจมตี.
- ใช้ Endpoint Detection and Response (EDR) เพื่อตรวจจับและตอบสนองต่อการใช้เครื่องมือที่ผิดปกติ (เช่น Velociraptor).
Source: https://thehackernews.com/2026/02/warlock-ransomware-breaches.html
Share this content: