أكدت شركة SmarterTools أن مجموعة Warlock (المعروفة أيضاً بـ Storm-2603) تمكنت من اختراق شبكتها في 29 يناير 2026 عبر خادم SmarterMail لم يتم تحديثه إلى الإصدار الأخير. وأوضح المسؤول التجاري للشركة، ديريك كيرتس، أن أحد الموظفين أنشأ جهازاً افتراضياً لم تتم مراقبته أو تحديثه، مما جعله نقطة دخول للهجوم.
رغم ذلك، شددت الشركة على أن خدماتها الأساسية مثل الموقع الرسمي، عربة التسوق، وبوابة الحسابات لم تتأثر، وأن بيانات العملاء لم تُخترق.
الأثر على البنية التحتية والعملاء
الهجوم أثر على نحو 12 خادماً يعمل بنظام ويندوز داخل شبكة الشركة، إضافة إلى مركز بيانات ثانوي مخصص لاختبارات الجودة. وأكد الرئيس التنفيذي، تيم أوزانتي، أن العملاء الذين يستخدمون خدمة SmarterTrack كانوا الأكثر تضرراً، ليس بسبب خلل في الخدمة نفسها، بل لأن بيئتها كانت أكثر عرضة للوصول بعد الاختراق.
المهاجمون انتظروا عدة أيام بعد الوصول الأولي قبل السيطرة على خادم Active Directory وإنشاء حسابات جديدة، ثم نشروا أدوات مثل Velociraptor وحزم التشفير لبدء عملية الفدية.
ثغرات خطيرة تحت الاستغلال
لم تحدد الشركة الثغرة المستغلة بدقة، لكن من المعروف أن عدة ثغرات في SmarterMail تعرضت للاستغلال مؤخراً، أبرزها:
- CVE-2025-52691 (درجة خطورة 10.0).
- CVE-2026-23760 (تجاوز المصادقة وإعادة تعيين كلمة مرور المدير).
- CVE-2026-24423 (تنفيذ أوامر عن بُعد عبر واجهة API).
الثغرات تمت معالجتها في الإصدار 9511، لكن وكالة الأمن السيبراني الأميركية (CISA) أكدت أن CVE-2026-24423 استُغلت في هجمات فدية. وفي تقرير حديث، أوضحت شركة ReliaQuest أن مجموعة Warlock استغلت بالفعل ثغرة CVE-2026-23760 لإعادة تعيين كلمة مرور المدير، ثم دمجت ذلك مع ميزة “Volume Mount” للحصول على سيطرة كاملة على النظام.
تكتيكات متقدمة لتفادي الكشف
أشارت الباحثة الأمنية أليسا فيمينيللا إلى أن المهاجمين فضلوا استغلال ثغرة تجاوز المصادقة لأنها تسمح لهم بالاندماج مع أنماط العمل الشرعية، مما يقلل من فرص اكتشافهم. وأضافت أن سرعة استغلال الثغرات بعد إصدار التصحيحات تعكس وتيرة عمل سريعة لدى مشغلي الفدية، الذين يحللون تحديثات الشركات ويطورون أدوات هجومية في وقت قصير.
وأكدت ReliaQuest أنها رصدت طلبات إعادة تعيين كلمات مرور مشبوهة على أنظمة غير مُحدَّثة، إضافة إلى محاولات لفحص الثغرة الثانية (CVE-2026-24423) في نفس الفترة.
