أكدت شركة SmarterTools الأسبوع الماضي تعرض شبكتها للاختراق بواسطة عصابة برامج الفدية Warlock، والمعروفة أيضاً باسم Storm-2603، وذلك عبر استغلال ثغرة في نسخة غير محدثة من برنامج SmarterMail، مما يسلط الضوء على أهمية الأمن السيبراني في المؤسسات.
وقع الحادث في 29 يناير 2026، حين تم اختراق خادم بريد لم يتم تحديثه إلى أحدث إصدار. وأوضح رئيس الشؤون التجارية للشركة، ديريك كيرتس، أنهم كانوا يملكون حوالي 30 خادماً لتشغيل SmarterMail ضمن شبكتهم، ولكن أحد هذه الخوادم، الذي أعده أحد الموظفين، لم يكن يخضع للتحديثات، مما جعله هدفاً سهلاً للاختراق.
تداعيات اختراق SmarterTools وتأثيره
أكدت SmarterTools أن الاختراق لم يؤثر على موقعها الإلكتروني، أو عربة التسوق، أو بوابة حسابي، أو العديد من الخدمات الأخرى. كما أوضحت الشركة أن أي تطبيقات أعمال أو بيانات حسابات لم تتأثر أو تتعرض للخطر.
ومع ذلك، فقد تأثر حوالي 12 خادماً من نوع ويندوز في شبكة الشركة المكتبية، بالإضافة إلى مركز بيانات ثانوي يستخدم للاختبارات، بحسب ما أكده الرئيس التنفيذي تيم أوزانتي. وأشار إلى أن “محاولة الهجوم ببرامج الفدية” أثرت أيضاً على العملاء الذين يستخدمون خدمة SmarterTrack المستضافة.
تأثير على العملاء المستضافين
“كان العملاء المستضافون الذين يستخدمون SmarterTrack هم الأكثر تضرراً”، حسبما ذكر أوزانتي في منشور آخر. وأضاف أن هذا لم يكن بسبب أي مشكلة في SmarterTrack نفسه، بل بسبب أن بيئتهم كانت أسهل في الوصول إليها مقارنة بالبيئات الأخرى بعد اختراق شبكتهم.
من جهة أخرى، اعترفت SmarterTools بأن عصابة Warlock انتظروا بضعة أيام بعد الحصول على الوصول الأولي للسيطرة على خادم Active Directory وإنشاء مستخدمين جدد، قبل نشر حمولات إضافية مثل Velociraptor وبرنامج التشفير لتشفير الملفات. وتفسر هذه الاستراتيجية سبب تعرض بعض العملاء للاختراق حتى بعد التحديث، حيث وقع الاختراق الأولي قبل التحديث، لكن النشاط الخبيث بدأ لاحقاً.
استغلال ثغرات SmarterMail
لم يتضح بعد أي ثغرة في SmarterMail تم استغلالها من قبل المهاجمين، إلا أن هناك عدة عيوب في برنامج البريد الإلكتروني – مثل CVE-2025-52691 (الذي يحمل درجة خطورة 10.0)، و CVE-2026-23760، و CVE-2026-24423 (بدرجة خطورة 9.3) – قد تم استغلالها بنشاط مؤخراً.
تعتبر CVE-2026-23760 ثغرة تجاوز المصادقة، والتي قد تسمح لأي مستخدم بإعادة تعيين كلمة مرور مسؤول نظام SmarterMail عبر إرسال طلب HTTP معد خصيصاً. أما CVE-2026-24423، فتستغل نقطة ضعف في طريقة ConnectToHub API لتحقيق تنفيذ تعليمات برمجية عن بعد (RCE) دون الحاجة للمصادقة.
قامت SmarterTools بمعالجة هذه الثغرات في الإصدار 9511. وفي الأسبوع الماضي، أكدت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) أنه يتم استغلال CVE-2026-24423 في هجمات برامج الفدية.
تقارير حول نمط الهجوم
في تقرير نشر يوم الاثنين، أشارت شركة الأمن السيبراني ReliaQuest إلى أنها رصدت نشاطاً قد يرتبط بعصابة Warlock، والذي تضمن إساءة استخدام CVE-2026-23760 لتجاوز المصادقة وتنظيم حمولة برامج الفدية على الأنظمة المتصلة بالإنترنت. ويستغل الهجوم أيضاً الوصول الأولي لتنزيل مثبت MSI خبيث (“v4.msi”) من Supabase، وهي منصة خلفية سحابية مشروعة، لتثبيت Velociraptor.
“بينما تسمح هذه الثغرة للمهاجمين بتجاوز المصادقة وإعادة تعيين كلمات مرور المسؤول، فإن Storm-2603 تربط هذا الوصول بميزة ‘Volume Mount’ المدمجة في البرنامج للسيطرة الكاملة على النظام”، حسبما ذكرت الباحثة الأمنية ألكسا فيمينيللا. وأضافت أنه عند الدخول، تقوم العصابة بتثبيت Velociraptor، وهي أداة تحقيقات جنائية رقمية مشروعة استخدمتها في حملات سابقة، للحفاظ على الوصول وتمهيد الطريق لبرامج الفدية.
وأوضحت الشركة الأمنية أن الثغرتين لهما نفس النتيجة النهائية؛ فبينما تمنح CVE-2026-23760 وصولاً إدارياً غير مصادق عليه عبر واجهة برمجة تطبيقات إعادة تعيين كلمة المرور، والتي يمكن دمجها مع منطق التحميل لتحقيق تنفيذ التعليمات البرمجية، توفر CVE-2026-24423 مساراً أكثر مباشرة لتنفيذ التعليمات البرمجية عبر مسار API.
التوصيات الأمنية
يشير استغلال المهاجمين للطريقة الأولى إلى أنها تسمح للنشاط الخبيث بالاندماج مع سير العمل الإداري العادي، مما يساعدهم على تجنب الكشف.
“من خلال إساءة استخدام الميزات المشروعة (إعادة تعيين كلمات المرور وتحميل الأقسام) بدلاً من الاعتماد فقط على نمط استغلال واحد ‘صاخب’، قد يقلل المشغلون من فعالية اكتشافات المصممة خصيصاً لأنماط RCE المعروفة”، أضافت فيمينيللا. “ويتماشى هذا المعدل من الاستغلال مع مشغلي برامج الفدية الذين يحللون بسرعة إصلاحات البائعين ويطورون طرق عمل فعالة بعد فترة وجيزة من الإصدار.”
ينصح المستخدمون لبرنامج SmarterMail بالترقية إلى أحدث إصدار (Build 9526) على الفور للحصول على أقصى حماية، وعزل خوادم البريد لمنع محاولات الحركة الجانبية المستخدمة لنشر برامج الفدية.