أكدت شركة SmarterTools تعرض شبكتها لاختراق أمني من قبل مجموعة برمجيات الفدية المعروفة باسم Warlock (أو Storm-2603)، وذلك عبر استغلال خادم SmarterMail لم يتم تحديثه. تشير التفاصيل إلى أن الحادث وقع في 29 يناير 2026، مما يسلط الضوء على أهمية التحديثات الأمنية الفورية.
كيف حدث اختراق خوادم SmarterTools؟
وفقاً لتصريحات ديريك كيرتس، المدير التجاري للشركة، فإن السبب الرئيسي للاختراق يعود إلى جهاز افتراضي (VM) واحد تم إعداده بواسطة موظف ولم يخضع لعمليات التحديث الدورية. ورغم وجود سياسات أمان صارمة، إلا أن هذا الخادم المنسي كان الثغرة التي نفذ منها المهاجمون.
وفي سياق متصل، أوضح تقرير تيكبامين أن الشبكة كانت تحتوي على ما يقارب 30 خادماً وجهازاً افتراضياً، ولكن عدم تحديث جهاز واحد كان كافياً لتعريض الشبكة للخطر، وهو درس قاسٍ للمؤسسات حول إدارة الأصول الرقمية.
ما هي الخدمات التي تأثرت بالهجوم؟
حرصت الشركة على طمأنة عملائها بأن العديد من الخدمات الحيوية لم تتأثر، حيث بقيت الأنظمة التالية آمنة:
- الموقع الإلكتروني الرسمي للشركة.
- بوابة حسابي (My Account portal).
- عربة التسوق والخدمات التجارية.
- تطبيقات الأعمال وبيانات الحسابات الرئيسية.
ومع ذلك، تأثر حوالي 12 خادماً يعمل بنظام Windows في شبكة مكاتب الشركة، بالإضافة إلى مركز بيانات ثانوي مخصص لاختبارات مراقبة الجودة (QC). وأشار تيم أوزانتي، الرئيس التنفيذي، إلى أن عملاء الاستضافة الذين يستخدمون SmarterTrack كانوا الأكثر تضرراً بسبب سهولة الوصول إلى بيئتهم بعد اختراق الشبكة، وليس بسبب عيب في البرنامج نفسه.
تكتيكات مجموعة Warlock الخبيثة
كشفت التحقيقات أن المهاجمين اتبعوا استراتيجية "الكمون"، حيث انتظروا عدة أيام بعد الحصول على الوصول الأولي قبل بدء التشفير. وتضمنت خطوات الهجوم ما يلي:
- السيطرة على خادم الدليل النشط (Active Directory).
- إنشاء مستخدمين جدد بصلاحيات عالية.
- الانتظار لمدة 6 إلى 7 أيام قبل اتخاذ إجراءات تخريبية.
- نشر حمولات إضافية مثل Velociraptor وبرمجيات التشفير.
هذا التأخير الزمني يفسر سبب تعرض بعض العملاء للاختراق حتى بعد قيامهم بالتحديث، حيث كان الاختراق الأولي قد حدث بالفعل قبل تطبيق التحديثات الأمنية، وتم تفعيل النشاط الخبيث لاحقاً.
الثغرات الأمنية المستغلة في SmarterMail
على الرغم من عدم تحديد الثغرة الدقيقة المستخدمة بدقة، إلا أن برنامج البريد الإلكتروني SmarterMail واجه مؤخراً عدة ثغرات خطيرة تم استغلالها بنشاط، وتشمل:
- CVE-2025-52691: ثغرة حرجة بتقييم (CVSS 10.0).
- CVE-2026-23760: ثغرة تجاوز المصادقة تسمح بإعادة تعيين كلمة مرور المسؤول.
- CVE-2026-24423: ثغرة تسمح بتنفيذ تعليمات برمجية عن بُعد (RCE) دون مصادقة.
يوصي تيكبامين جميع مسؤولي الأنظمة بضرورة التأكد من تحديث جميع نسخ SmarterMail إلى الإصدار رقم 9511 أو أحدث، لضمان إغلاق هذه الثغرات وحماية البيانات من هجمات مماثلة في المستقبل.
