SmarterTools отразила атаку через необновлённую виртуальную машину
3 мин
22
Хакеры успешно атаковали компанию SmarterTools, проникнув в сеть через необновлённую виртуальную машину, после чего скомпрометировали несколько десятков серверов. Кибератака произошла 29 января 2026 года.
Она затронула офисную сеть и один из дата-центров с лабораторными средами для тестирования. Следы взлома нашли приблизительно на 12 серверах Windows (точную цифру в компании не назвали). Антивирусное ПО заблокировало бóльшую часть вредоносной активности. Серверы Linux остались нетронутыми.
При обнаружении атаки все серверы отключили и заблокировали доступ в интернет. После оценки ситуации часть серверов удалили, другие восстановили из бэкапов. ОС Windows удалили везде, где было возможно, также отказались от Active Directory полностью. Все пароли в Сети сменили.
Причиной кибератаки стала виртуальная машина с почтовым сервером SmarterMail, на которой не были установлены обновления. Один из сотрудников развернул её самостоятельно, без ведома руководства. Именно через эту машину злоумышленники нашли уязвимость и получили доступ к сети компании.
До атаки в инфраструктуре компании работали 30 серверов и виртуальных машин с SmarterMail. Благодаря сегментации сети основные сервисы продолжили работу во время устранения проблемы. Сайт, магазин и клиентский портал остались доступны. Бизнес-приложения и данные аккаунтов не пострадали.
За атакой на SmarterTools стоит группировка Warlock Group. Её активность зафиксировали и на серверах клиентов. После получения доступа злоумышленники устанавливали файлы и ждали шесть-семь дней, затем начинали активные действия. Поэтому некоторые клиенты столкнулись с атакой уже после установки патчей.
Атакующие пытались захватить сервер Active Directory и создавали новых пользователей, затем распространяли файлы по машинам Windows и запускали программы для шифрования данных. Чаще всего использовали общие папки, директории AppData, ProgramData и каталоги SmarterMail.
Среди вредоносных программ обнаружили Velociraptor, JWRapper, Remote Access, SimpleHelp и старые версии WinRAR. Также присутствовали файлы с именами Run.exe, Run.dll, main.exe и короткие случайные названия. Признаки взлома — необычные локальные пользователи, подозрительные элементы автозапуска и недавно созданные задачи планировщика.
Уязвимости CVE находят в различных продуктах. Warlock Group часто атакует уязвимости в SharePoint и Veeam, теперь в их число вошёл и SmarterMail. Недавние проблемы в Notepad++ показали, что даже доверенные приложения можно использовать для атак. Группировка работает преимущественно с Windows-средами. Компания отметила эффективность антивируса в обнаружении угроз и предотвращении шифрования.
Для устранения уязвимостей компания выпустила две сборки. Обновление SmarterMail 9518 от 15 января содержит исправления объявленных уязвимостей CVE, а сборка 9526 от 22 января добавляет улучшения и закрывает менее критичные проблемы. SmarterTools продолжает проверять продукты и сотрудничает с компаниями по безопасности. Критичных уязвимостей в SmarterMail сейчас не обнаружено.
