【安全资讯】Warlock勒索软件团伙利用SmarterMail漏洞入侵SmarterTools网络

概要：

在网络安全领域，软件供应商自身产品中的漏洞正成为攻击者入侵其内部网络的捷径。近期，SmarterTools公司证实其网络遭到Warlock勒索软件团伙的入侵，攻击者正是利用了该公司旗下SmarterMail邮件服务器软件中的一个身份验证绕过漏洞。这一事件凸显了企业，尤其是软件开发商，在内部资产管理和补丁更新方面面临的严峻挑战，其影响不仅限于自身，还可能波及使用其产品的广大客户。

主要内容：

SmarterTools公司确认，Warlock勒索软件团伙通过利用SmarterMail软件中的一个已知漏洞（CVE-2026-23760）入侵了其网络。该漏洞存在于Build 9518之前的版本中，允许攻击者绕过身份验证、重置管理员密码并获取完全权限。入侵始于一台由员工私自搭建且未及时更新的SmarterMail虚拟机，攻击者以此为跳板，通过Active Directory在企业内网横向移动。

攻击者使用了包括Velociraptor、SimpleHelp以及存在漏洞的WinRAR版本在内的多种工具，并通过创建启动项和计划任务来维持持久访问。值得注意的是，安全研究人员将Warlock团伙的活动与一个被追踪为Storm-2603的国家级黑客组织联系起来。该组织在获得初始访问权限后，通常会潜伏约一周时间，最终对可访问的机器进行加密。

在此次事件中，SentinelOne安全产品成功阻止了最终的加密载荷执行，受影响的系统被隔离，数据也从新备份中恢复。尽管客户数据未直接受影响，但公司办公网络中的12台Windows服务器以及一个用于测试的二级数据中心遭到入侵。研究人员还发现攻击者探测了另一个SmarterMail漏洞（CVE-2026-24423），该漏洞能提供更直接的远程代码执行路径。

此次事件的核心教训在于内部资产可见性与补丁管理的重要性。一个未被纳入管理范围的陈旧系统成为了整个安全防线的突破口。SmarterTools已建议所有管理员尽快将SmarterMail升级至Build 9511或更高版本，以修复相关漏洞。