SmarterMail стал воротами в ад: хакеры готовят волну атак шифровальщиками через почтовые серверы

Компания ReliaQuest заметила волну взломов почтовой платформы SmarterMail от SmarterTools. Проникновение происходит через уязвимость CVE-2026-23760. По техническим признакам исследователи с умеренно высокой вероятностью относят эту активность к группе Storm-2603 китайского происхождения. Наблюдаемая цепочка действий впервые прямо показывает, что именно эта брешь используется как точка входа перед подготовкой к запуску шифровальщика Warlock.

Проблема в SmarterMail дает возможность обойти аутентификацию и назначить новый секрет администратора через API сброса пароля. В штатном сценарии механизм обязан проверять прежний код доступа перед изменением. В сборках до версии 9511 такая проверка не выполняется. Узел принимает любое введенное значение как верное. В итоге посторонний может переписать реквизиты нужного профиля, даже не зная действующей комбинации, и получить максимальные права в панели управления.

Сам по себе вход в почтовую консоль еще не означает выполнение инструкций в операционной среде. В разобранных эпизодах нарушители переходят ко второму шагу и используют административную функцию Volume Mount. Этот инструмент нужен для подключения сетевых хранилищ и принимает строку монтирования. Программа не ограничивает содержимое такого параметра. Вместо штатных значений туда подставляют произвольные команды. Обработка идет с правами службы SmarterMail, поэтому контроль над узлом Windows фактически переходит атакующей стороне. Такой прием превращает доступ к интерфейсу в удаленный запуск кода и открывает путь к подгрузке вредоносных модулей.

Дальнейшие действия совпадают с приемами, которые ReliaQuest раньше наблюдала в операциях Storm-2603. Для доставки полезной нагрузки применяется стандартный установщик Windows msiexec. Через него подтягивается MSI-пакет v4.msi с облачной площадки Supabase. В зафиксированных случаях легитимный процесс MailService.exe запускал cmd.exe, после чего уже эта утилита выполняла загрузку. Со стороны происходящее выглядит как обычная работа почтовой службы. В прошлых эпизодах Warlock аналогичные файлы размещались на GitHub. Новый хостинг исследователи считают попыткой обойти прежние блокировки и сигнатуры.

Полученный пакет устанавливает Velociraptor. Это известный инструмент цифровой криминалистики и реагирования на инциденты, которым пользуются команды безопасности. В данной операции его применяют как канал управления и связи с узлом жертвы, по сути как C2. За счет легитимного статуса такой агент реже вызывает тревогу у защитных средств и помогает дольше сохранять скрытое присутствие. В рассмотренном случае шифрующую программу в сеть не доставляли, однако вся подготовительная последовательность полностью повторяет ранее описанные сценарии Warlock. По оценке ReliaQuest, вмешательство удалось пресечь на раннем этапе.

Параллельно аналитики заметили попытки использовать вторую уязвимость платформы, CVE-2026-24423. Предупреждение по этой проблеме выпустило агентство CISA 5 февраля 2026 года, указав на интерес со стороны операторов вымогательских схем. В журналах появились обращения к API ConnectToHub, характерные для данного дефекта. Источники запросов не совпадали с инфраструктурой Storm-2603. Возможные объяснения включают смену адресов той же группы, работу других игроков или автоматическое сканирование.

Обе бреши приводят к схожему результату, но используют разные пути. CVE-2026-23760 дает административные привилегии без входа через процедуру смены секрета, после чего нарушитель вручную задействует штатные возможности и выходит на запуск команд. CVE-2026-24423, по данным исследователей, открывает более короткую дорогу к выполнению инструкций через интерфейс программирования. В изученном инциденте зафиксированы события изменения паролей, что прямо указывает на успешное применение первого варианта. По второму направлению видны только вызовы API без подтвержденного проникновения.

По наблюдениям ReliaQuest, интернет-доступные почтовые узлы сейчас массово проверяются разными способами. Закрытие одной проблемы не гарантирует защиту, если противник уже проник другим методом или использует легальные административные утилиты для скрытого присутствия. Похожая тактика встречается при вторжениях через VPN-шлюзы и сервисы передачи файлов. Сначала компрометируется внешний сервис, затем начинается перемещение по сети через штатные средства без большого объема явного вредоносного кода.

ReliaQuest советует срочно обновить все экземпляры SmarterMail до сборки 9511 или новее, где исправлена ошибка проверки пароля, и установить патчи для CVE-2026-24423. Дополнительная мера, вынести почтовый узел в отдельный сетевой сегмент, чтобы компрометация не давала прямой выход к контроллеру домена и критичным системам. Также полезны жесткие правила исходящего трафика. Такому серверу стоит разрешить только необходимые протоколы, такие как SMTP, IMAP и POP3, а прочие внешние соединения, особенно к облачным площадкам и неизвестным адресам, блокировать. Такой режим обрезает каналы управления и доставки полезной нагрузки.