Группировка Storm-2603 использует уязвимость в почтовом сервере SmarterMail для развертывания программ-вымогателей

Уязвимость CVE-2026-23760 позволяет злоумышленнику, не проходя аутентификацию, сбросить пароль администратора через специальный API. Однако для получения полного контроля над операционной системой сервера Storm-2603 использует цепочку атак. После получения прав администратора в приложении злоумышленники злоупотребляют встроенной функцией "Volume Mount", предназначенной для монтирования сетевых дисков. Вместо легитимных команд они внедряют произвольные вредоносные инструкции, которые выполняются с высокими привилегиями службы SmarterMail, что обеспечивает выполнение удаленного кода (Remote Code Execution, RCE).

Достигнув выполнения кода на системе, злоумышленники развертывают инструменты для обеспечения устойчивости (persistence) и подготовки к распространению ransomware. В частности, наблюдается использование легитимного инструмента для цифровой криминалистики Velociraptor, который группировка настраивает для управления командным сервером (Command-and-Control, C2). Использование такого легитимного ПО помогает атакующим маскировать свою деятельность под обычную административную активность. Для загрузки полезной нагрузки (payload) злоумышленники используют облачную платформу Supabase, что, вероятно, является ротацией инфраструктуры для обхода блокировок, настроенных после их предыдущих кампаний.

Отдельно стоит отметить, что данная активность совпадает с предупреждением Агентства по кибербезопасности и инфраструктурной безопасности США (CISA) от 5 февраля 2026 года об эксплуатации другой уязвимости в SmarterMail - CVE-2026-24423. Аналитики ReliaQuest также наблюдали зондирование серверов на наличие этой второй уязвимости. Поскольку попытки эксплойта исходили от другой инфраструктуры, неясно, была ли это Storm-2603, использующая разные IP-адреса, или же отдельная группа угроз, действующая в то же время. Однако, по оценкам аналитиков, CVE-2026-23760 с высокой вероятностью стала основным вектором атаки в расследованном инциденте.

Эта атака демонстрирует растущую изощренность группировок, связанных с ransomware. Они не только быстро адаптируют свежие уязвимости, но и целенаправленно комбинируют их со злоупотреблением легитимными функциями программного обеспечения. Такой подход, известный как "живут за счет земли" (Living off the Land), позволяет эффективнее скрываться от систем обнаружения, настроенных на поиск явных признаков вредоносной деятельности. Угроза носит системный характер: интерфейсные серверы, такие как почтовые, становятся первоначальной мишенью, после чего атакующие используют внутренние административные возможности для горизонтального перемещения по сети.

Для защиты от подобных угроз эксперты настоятельно рекомендуют немедленно обновить все экземпляры SmarterMail до сборки 9511 или новее, чтобы устранить обе известные уязвимости. Однако, учитывая использование злоумышленниками легитимных инструментов для persistence, одного обновления может быть недостаточно, если противник уже проник в систему. Критически важно изолировать почтовые серверы от остальной корпоративной сети, разместив их в демилитаризованной зоне (DMZ). Это предотвратит использование скомпрометированного почтового сервера как плацдарма для атак на контроллеры домена и другие критически важные активы. Дополнительно следует ужесточить правила исходящего сетевого трафика, разрешив для почтовых серверов только необходимые протоколы (SMTP, IMAP, POP3) и заблокировав все остальные соединения, особенно к облачным хостинг-провайдерам, чтобы пресечь потенциальные каналы управления C2.

IPv4

• 157.245.156.118
• 162.252.198.197
• 178.128.103.218
• 199.217.99.93
• 45.127.35.186

Domains

• 2-api.mooo.com
• auth.qgtxtebl.workers.dev
• vdfccjpnedujhrzscjtq.supabase.co