Peretas melanggar jaringan SmarterTools menggunakan kelemahan pada perangkat lunaknya sendiri

SmarterTools mengkonfirmasi minggu lalu bahwa geng ransomware Warlock melanggar jaringannya setelah menyusupi sistem email, namun hal itu tidak berdampak pada aplikasi bisnis atau data akun.

Chief Commercial Officer perusahaan, Derek Curtis, mengatakan bahwa penyusupan terjadi pada 29 Januari, melalui satu mesin virtual (VM) SmarterMail yang dibuat oleh seorang karyawan.

“Sebelum pelanggaran terjadi, kami memiliki sekitar 30 server/VM dengan SmarterMail yang terpasang di seluruh jaringan kami,” Curtis menjelaskan.

“Sayangnya, kami tidak mengetahui ada satu VM, yang dibuat oleh seorang karyawan, yang tidak diperbarui. Akibatnya, server email tersebut disusupi dan menyebabkan pelanggaran.”

Meskipun SmarterTools memastikan bahwa data pelanggan tidak terkena dampak langsung dari pelanggaran ini, 12 server Windows di jaringan kantor perusahaan, serta pusat data sekunder yang digunakan untuk uji laboratorium, kontrol kualitas, dan hosting, dipastikan telah disusupi.

Para penyerang berpindah secara lateral dari satu VM yang rentan tersebut melalui Active Directory, menggunakan perkakas dan metode persistensi yang berpusat pada Windows. Server Linux, yang merupakan mayoritas infrastruktur perusahaan, tidak disusupi oleh serangan ini.

Kerentanan yang dieksploitasi dalam serangan untuk mendapatkan akses adalah CVE-2026-23760kelemahan bypass autentikasi di SmarterMail sebelum Build 9518, yang memungkinkan pengaturan ulang kata sandi administrator dan memperoleh hak istimewa penuh.

SmarterTools melaporkan bahwa serangan tersebut dilakukan oleh Kelompok ransomware penyihiryang juga berdampak pada mesin pelanggan yang menggunakan aktivitas serupa.

Operator ransomware menunggu sekitar seminggu setelah mendapatkan akses awal, tahap terakhir adalah enkripsi semua mesin yang dapat dijangkau.

Namun, dalam kasus ini, produk keamanan Sentinel One dilaporkan menghentikan enkripsi pada muatan akhir, sistem yang terkena dampak diisolasi, dan data dipulihkan dari cadangan baru.

Alat yang digunakan dalam serangan tersebut termasuk Velociraptor, SimpleHelp, dan versi WinRAR yang rentan, sementara item startup dan tugas terjadwal juga digunakan untuk persistensi, menurut perusahaan.

Cisco Talos melaporkan di masa lalu pelaku ancaman menyalahgunakan alat DFIR sumber terbuka Velociraptor.

Pada bulan Oktober 2025, perusahaan keamanan siber Halcyon menghubungkan geng ransomware Warlcok dengan aktor negara-bangsa Tiongkok yang dilacak sebagai Storm-2603.

ReliaQuest menerbitkan a laporan sebelumnya hari ini mengonfirmasi bahwa aktivitas tersebut terkait dengan Storm-2603, dengan keyakinan sedang hingga tinggi.

“Meskipun kerentanan ini memungkinkan penyerang untuk melewati otentikasi dan mengatur ulang kata sandi administrator, Storm-2603 menghubungkan akses ini dengan fitur ‘Volume Mount’ bawaan perangkat lunak untuk mendapatkan kontrol sistem penuh,” kata ReliaQuest.

“Saat masuk, kelompok tersebut menginstal Velociraptor, alat forensik digital sah yang telah mereka gunakan dalam kampanye sebelumnya, untuk mempertahankan akses dan menyiapkan panggung untuk ransomware.”

ReliaQuest juga melihat penyelidikan untuk CVE-2026-24423, kelemahan SmarterMail lainnya ditandai oleh CISA seperti yang dieksploitasi secara aktif oleh pelaku ransomware minggu lalu, meskipun vektor utamanya adalah CVE-2026-23760.

Para peneliti mencatat bahwa CVE-2026-24423 menyediakan jalur API yang lebih langsung untuk mencapai eksekusi kode jarak jauh, namun CVE-2026-23760 tidak terlalu berisik, menyatu dengan aktivitas administratif yang sah, itulah sebabnya Storm-2603 mungkin memilih opsi tersebut.

Untuk mengatasi semua kelemahan terbaru pada produk SmarterMail, administrator disarankan untuk melakukannya tingkatkan ke Build 9511 atau lebih baru secepat mungkin.