Letzte Woche bestätigte SmartTools, was bereits begonnen hatte, mehrere Antwort-Teams zu verdächtigen: ein unupdated Mail-Server diente als Gateway für das Team von Ransomware bekannt als Warlock oder Storm-2603. Der Vorfall, den das Unternehmen am 29. Januar 2026 platzierte, explodierte eine SmartMail-Instanz, die die letzten Patches nicht erhalten hatte und den Angreifern erlaubte, sich im Netzwerk zu bewegen.
Laut den offiziellen Releases von SmartTools selbst war der anfängliche Vektor keine ausgeklügelte Kette unbekannter Exploits, sondern die Existenz einer virtuellen Maschine durch interne Aktualisierungsprozesse vergessen. Dieses einzelne Team, bestehend aus einem Mitarbeiter, wurde aus dem Patch-Zyklus gelassen und bot den Zugriff, dass Gruppenbetreiber benötigt, um Privilegien zu skalieren und böswillige Werkzeuge in der Umgebung zu implementieren. Sie können die Erklärung des Unternehmens auf seinem Community-Portal lesen Hier..
Der technische Umfang des Angriffs beschreibt eine Taktik, die bereits in den jüngsten Kampagnen gesehen wurde: Die Eindringlinge handeln nicht sofort zur Verschlüsselung und zur Forderungsrettung, sie bleiben aber still genug, um die Ausdauer zu gewährleisten und die Bühne vorzubereiten. SmartTools zeigt an, dass die Angreifer mehrere Tage gewartet haben, bevor sie die Steuerung des Active Directory-Servers übernehmen, Konten erstellen und zusätzliche Nutzlasten wie Velociraptor und eine Verschlüsselungskomponente bereitstellen. Diese Latenzzeit erklärt, warum einige Kunden schädliche Aktivität nach der Anwendung von Patches erkannten: die anfängliche Intrusion war vor dem Update aufgetreten und nur Gebühren wurden zu einem späteren Zeitpunkt aktiviert.
Die Folgen waren nicht trivial. Das Unternehmen bestätigte, dass ein Dutzend Windows-Server im Büronetzwerk und ein sekundäres Rechenzentrum für Qualitätskontrolltests betroffen waren. Darüber hinaus hat der Betrieb Hosted-Kunden mit SmartTrack getroffen; SmartTools stellte fest, dass das Problem nicht ein Fehler in SmartTrack als Produkt war, sondern dass diese Hosted-Plattformen nach dem ersten Zugriff besser aus dem kompromittierten Netzwerk zugänglich waren. SmartTools nähert seine Bewertung und Empfehlungen in einer weiteren Anmerkung des Gemeinschaftsportals hier verfügbar.
Aus technischer Sicht gibt es zwei Schwachstellen in SmartMail, die Aufmerksamkeit für ihre aktive Ausbeutung erhalten haben. Man kann die Authentifizierung vermeiden und das Passwort des Administrators wiederherstellen, indem man eine manipulierte HTTP-Anfrage sendet; die anderen Angriffe die ConnectToHub API, um eine Remote-Ausführung ohne Authentifizierung zu erhalten. Beide Fehler bieten verschiedene Wege, aber mit dem gleichen Ziel: die Kontrolle des Systems zu erhalten. SmartTools korrigierte diese Fehler in einer späteren Version und empfiehlt die Aktualisierung auf die neueste, die Sie in Ihren Versionshinweisen sehen können Hier..
Die dem Vorfall gefolgten Geheimberichte liefern relevante Informationen über die Kette der Ausbeutung. ReliaQuest beschreibt beispielsweise, wie die Kampagne im Zusammenhang mit Storm-2603 die Sicherheitslücke der Passwortwiederherstellung missbraucht hat, um einen bösartigen MSI-Installer in Supabase zu installieren, der wiederum Velociraptor zur Aufrechterhaltung des Zugriffs und zur Vorbereitung der Verschlüsselung eingesetzt hat. Sie können Ihre technische Analyse auf Ihrem Blog lesen Hier.. Darüber hinaus die US-Agentur für Infrastruktur und Cybersicherheit. Die Vereinigten Staaten (CISA) haben bereits die aktive Ausbeutung einer dieser Schwachstellen bemerkt, die die Dringlichkeit der globalen Minderung unterstreicht; ihr Katalog der ausgenutzten Schwachstellen bietet Kontext darüber, wie diese Fehler durch Risiko und reale Ausbeutung priorisiert werden ( KEV Katalog - CISA)
Jenseits des Namens von Malware und CVE gibt es eine sehr klare operative Lektion: Angreifer stimmen ihre Methodik auf "Mix" mit legitimen administrativen Traffic. Anstatt sich nur auf laute Alarm-Shooting-Ausbeuten zu verlassen, verknüpft die Kampagne einen Authentifizierungsfehler mit legitimen Software-Funktionen, wie z.B. Volume Assembly, um Code auszuführen und unbemerkt zu bleiben. Diese Taktik reduziert die Wirksamkeit vieler Erkennungen, die klassische Muster von CERs suchen und erfordert mehr ganzheitliche Verteidigung einschließlich Telemetrie der administrativen Aktivität und Erkennung von Werkzeugen der Persistenz.
Wenn Sie SmartMail verwalten, ist die erste verbindliche Maßnahme, die vom Lieferanten empfohlene Version so schnell wie möglich zu aktualisieren. Updating ist keine symbolische Geste: es schließt Vektoren, die aktiv bewaffnet werden. Gleichzeitig ist es wichtig, Mailserver von anderen kritischen Vermögenswerten zu segregieren, die Internetexposition zu begrenzen und Netzwerksteuerungen anzuwenden, die eine seitliche Bewegung im Falle eines Eingriffs verhindern. Die Überwachung von Active Directory und die Suche nach persistenten Geräten - zum Beispiel Dienstleistungen, geplante Aufgaben oder ungewöhnliche binäre Aufgaben wie Velociraptor - sind Schritte, die Teil einer schnellen Reaktion sein müssen.
Schließlich ist es nicht angebracht, auf den Laurels zu schlafen, indem man die Releases neu arrangiert: Obwohl SmartTools angegeben hat, dass sein Web, das Shopping-Gateway, das Kontoportal und bestimmte Dienstleistungen nicht beeinträchtigt wurden, zeigt die Realität des Vorfalls, wie ein einziger vergessener VM vernetzte Systeme und Kunden beeinflussen kann. Die beste Verteidigung ist weiterhin eine Kombination aus Hygiene (Patches, Segmentierung, Offline-Backup), Offene Überwachung von Intrusionssignalen und Reaktionsplänen, um Schauspieler zu enthalten und auszulöschen, die bereits Zugang erreicht haben. Für diejenigen, die sich vertiefen wollen, wie diese Schwachstellen ausgenutzt werden und was in kompromittierten Umgebungen suchen, sind ReliaQuest Analysen und Hinweise von Lieferanten und Agenturen wie CISA empfohlen Lesungen.
Wenn Sie benötigen, kann ich Ihnen dabei helfen, diese Empfehlungen in eine praktische Checkliste für technische Geräte zu übersetzen oder eine Kundenkommunikation zu entwickeln, die die Schritte nach dem Update erklärt.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...