A MI-fejlesztők pórul jártak: saját hibájuk vitte a SmarterTools-csapdába

A Windows-szerverek pórul jártak, de a Linux megúszta

A SmarterTools jelezte, hogy az ügyféladatok nem sérültek, viszont 12 Windows-alapú szerverük, illetve egy másodlagos adatközpontjuk is veszélybe kerültek, ahol labor- és tesztkörnyezeteket, valamint tárhelyet üzemeltettek. Az elkövetők az Active Directory-n keresztül, Windows-specifikus eszközökkel és módszerekkel mozogtak oldalirányban a hálózaton belül. A támadásban a cég túlnyomó többségét kitevő Linux-szerverek érintetlenek maradtak.

Órákon múlt a teljes káosz

A támadók egy hétig lapultak, majd titkosítani kezdték az elérhető gépeket. A SentinelOne biztonsági rendszer viszont megállította a folyamatot, az érintett gépeket elszigetelték, az adatokat friss mentésből állították vissza.

Kína árnyéka, régi hibák kihasználása

A támadók a CVE-2026-23760 hibát használták ki, amely lehetővé teszi adminisztrátori jelszavak visszaállítását, majd a szoftver Volume Mount funkcióját összekapcsolva átvették a teljes vezérlést. A Warlock bandát egy kínai hátterű csoporthoz, a Storm-2603-hoz kötik a szakértők – ezt októberben erősítették meg. A behatolás után a Velociraptor digitális nyomozóeszközt telepítették, hogy a rendszerben maradjanak, majd zsarolóprogrammal próbálkoztak. Felbukkant a CVE-2026-24423 sebezhetőség is, amellyel közvetlen távoli kódfuttatással próbálkoztak, de végül a csendesebb kínai módszer győzött.

Megoldás: mindenki azonnal frissítsen

A szakértők szerint a SmarterMailt használóknak érdemes a legújabb hibajavítást telepíteniük, hogy ne járjanak ugyanígy.

2025, adrienne, www.bleepingcomputer.com alapján