1月15日軟體開發商SmarterTools發布郵件伺服器SmarterMail更新,修補重大等級的資安漏洞CVE-2026-23760、CVE-2026-24423,後續有IT人員通報郵件伺服器遭到入侵,駭客竄改管理員帳號的密碼,並新增另一個網域及管理員帳號,攻擊活動疑似來自中國。後續資安公司watchTowr與Huntress提出警告,他們發現駭客利用CVE-2026-23760的現象,現在傳出SmarterTools自己也遭到波及。
2月3日SmarterTools商務長Derek Curtis指出,他們在1月29日遭到入侵,該公司的網路環境當中,約有30臺以實體主機或虛擬機器(VM)建置的SmarterMail伺服器,其中一臺以虛擬機器架設的郵件伺服器未及時套用更新而遭到入侵,並導致資料外洩。該公司用於品管的實驗室環境受到影響,包含其使用的辦公室與資料中心網路環境。該資料中心也被用於架設被該公司的入口網站,以及透過AD連接的Hosted SmarterTrack網路,不過這些設施並未受到顯著的影響,但為了保險起見,SmarterTools還是透過最近一次的備份,將部分伺服器進行還原因應。
針對這起事故的受害範圍,約有12臺Windows伺服器遭到入侵,Linux主機未受到影響。而在受害的主機上,大部分的活動已被SentinelOne的端點防護系統攔截,並未造成進一步的災情。該公司的網站、購物車、My Account入口網站,以及其他服務,皆維持運作而不受影響,該公司的應用程式或帳號資料並未遭到入侵。
SmarterTools指出,攻擊者的身分是勒索軟體駭客組織Warlock Group,一旦駭客取得存取權限,通常會部署特定檔案,然後等待約一週的時間才進行後續活動。這些駭客會嘗試控制AD並建立新使用者,然後將檔案分散到不同的Windows電腦,並將檔案加密。針對這些駭客的來歷,根據資安業者Halcyon的調查指出,Warlock就是中國駭客組織Storm-2603,這組人馬還有另一組外號:CL-CRI-1040。
SmarterTools提及這些駭客攻擊的特徵,其中包含駭客會利用數位鑑識工具Velociraptor、遠端管理工具SimpleHelp,以及壓縮軟體WinRAR。由於他們也正在與客戶廣泛合作,因此也掌握部分客戶的SmarterMail出現類似的攻擊行為。
值得留意的是,全球尚有超過4千臺SmarterMail伺服器尚未修補CVE-2026-23760,而可能成為駭客攻擊的目標。1月26日Shadowserver基金會指出,他們發現約有6千個IP位址曝險;Macnica威脅情報研究員瀬治山豐(Yutaka Sejiyama)指出,約有8,550臺郵件伺服器存在CVE-2026-23760、6,657臺存在任意檔案上傳漏洞CVE-2025-52691,僅有約四分之一完成修補。根據Shadowserver基金會的統計資料,2月11日仍有4,289臺未修補CVE-2026-23760,美國約2,700臺最多,其次是馬來西亞、印度、英國,分別有374、154,以及128臺,臺灣有1臺存在漏洞。
熱門新聞
2026-02-23
2026-02-23
2026-02-20
2026-02-23
2026-02-23
2026-02-25