SmarterMail стал воротами в ад: хакеры готовят волну атак шифровальщиками через почтовые серверы
NewsMakerSmarterMail + Storm-2603 = рецепт кибернетического судного дня для корпораций.
Компания ReliaQuest заметила волну взломов почтовой платформы SmarterMail от SmarterTools. Проникновение происходит через уязвимость CVE-2026-23760. По техническим признакам исследователи с умеренно высокой вероятностью относят эту активность к группе Storm-2603 китайского происхождения. Наблюдаемая цепочка действий впервые прямо показывает, что именно эта брешь используется как точка входа перед подготовкой к запуску шифровальщика Warlock .
Проблема в SmarterMail дает возможность обойти аутентификацию и назначить новый секрет администратора через API сброса пароля . В штатном сценарии механизм обязан проверять прежний код доступа перед изменением. В сборках до версии 9511 такая проверка не выполняется. Узел принимает любое введенное значение как верное. В итоге посторонний может переписать реквизиты нужного профиля, даже не зная действующей комбинации, и получить максимальные права в панели управления.
Сам по себе вход в почтовую консоль еще не означает выполнение инструкций в операционной среде. В разобранных эпизодах нарушители переходят ко второму шагу и используют административную функцию Volume Mount. Этот инструмент нужен для подключения сетевых хранилищ и принимает строку монтирования. Программа не ограничивает содержимое такого параметра. Вместо штатных значений туда подставляют произвольные команды. Обработка идет с правами службы SmarterMail, поэтому контроль над узлом Windows фактически переходит атакующей стороне. Такой прием превращает доступ к интерфейсу в удаленный запуск кода и открывает путь к подгрузке вредоносных модулей.
Дальнейшие действия совпадают с приемами, которые ReliaQuest раньше наблюдала в операциях Storm-2603. Для доставки полезной нагрузки применяется стандартный установщик Windows msiexec. Через него подтягивается MSI-пакет v4.msi с облачной площадки Supabase. В зафиксированных случаях легитимный процесс MailService.exe запускал cmd.exe, после чего уже эта утилита выполняла загрузку. Со стороны происходящее выглядит как обычная работа почтовой службы. В прошлых эпизодах Warlock аналогичные файлы размещались на GitHub. Новый хостинг исследователи считают попыткой обойти прежние блокировки и сигнатуры.
Компания ReliaQuest заметила волну взломов почтовой платформы SmarterMail от SmarterTools. Проникновение происходит через уязвимость CVE-2026-23760. По техническим признакам исследователи с умеренно высокой вероятностью относят эту активность к группе Storm-2603 китайского происхождения. Наблюдаемая цепочка действий впервые прямо показывает, что именно эта брешь используется как точка входа перед подготовкой к запуску шифровальщика Warlock .
Проблема в SmarterMail дает возможность обойти аутентификацию и назначить новый секрет администратора через API сброса пароля . В штатном сценарии механизм обязан проверять прежний код доступа перед изменением. В сборках до версии 9511 такая проверка не выполняется. Узел принимает любое введенное значение как верное. В итоге посторонний может переписать реквизиты нужного профиля, даже не зная действующей комбинации, и получить максимальные права в панели управления.
Сам по себе вход в почтовую консоль еще не означает выполнение инструкций в операционной среде. В разобранных эпизодах нарушители переходят ко второму шагу и используют административную функцию Volume Mount. Этот инструмент нужен для подключения сетевых хранилищ и принимает строку монтирования. Программа не ограничивает содержимое такого параметра. Вместо штатных значений туда подставляют произвольные команды. Обработка идет с правами службы SmarterMail, поэтому контроль над узлом Windows фактически переходит атакующей стороне. Такой прием превращает доступ к интерфейсу в удаленный запуск кода и открывает путь к подгрузке вредоносных модулей.
Дальнейшие действия совпадают с приемами, которые ReliaQuest раньше наблюдала в операциях Storm-2603. Для доставки полезной нагрузки применяется стандартный установщик Windows msiexec. Через него подтягивается MSI-пакет v4.msi с облачной площадки Supabase. В зафиксированных случаях легитимный процесс MailService.exe запускал cmd.exe, после чего уже эта утилита выполняла загрузку. Со стороны происходящее выглядит как обычная работа почтовой службы. В прошлых эпизодах Warlock аналогичные файлы размещались на GitHub. Новый хостинг исследователи считают попыткой обойти прежние блокировки и сигнатуры.