មេរោគ Warlock Ransomware វាយប្រហារ SmarterTools តាមរយៈម៉ាស៊ីនបម្រើ SmarterMail ដែលមិនទាន់បានជួសជុល

ក្រុមហ៊ុន SmarterTools បានបញ្ជាក់កាលពីសប្តាហ៍មុនថា ក្រុមចោរប្លន់ Warlock (ហៅកាត់ថា Storm-2603) បានលួចចូលបណ្តាញរបស់ខ្លួនដោយទាញយកប្រយោជន៍ពីឧទាហរណ៍ SmarterMail ដែលមិនទាន់បានជួសជុល។

លោក Derek Curtis ប្រធានផ្នែកពាណិជ្ជកម្មរបស់ក្រុមហ៊ុនបាននិយាយថា ហេតុការណ៍នេះបានកើតឡើងនៅថ្ងៃទី 29 ខែមករា ឆ្នាំ 2026 នៅពេលដែលម៉ាស៊ីនបម្រើសំបុត្រដែលមិនត្រូវបានធ្វើបច្ចុប្បន្នភាពទៅកំណែចុងក្រោយបំផុតត្រូវបានលួចចូល។

លោក Curtis បានពន្យល់ថា "មុនពេលមានការរំលោភបំពាន យើងមានម៉ាស៊ីនបម្រើ/ម៉ាស៊ីនមេប្រហែល 30 ដែលមាន SmarterMail ត្រូវបានដំឡើងនៅទូទាំងបណ្តាញរបស់យើង"។ "ជាអកុសល យើងមិនបានដឹងអំពីម៉ាស៊ីនមេមួយ ដែលបង្កើតឡើងដោយបុគ្គលិកម្នាក់ ដែលមិនត្រូវបានធ្វើបច្ចុប្បន្នភាព។ ជាលទ្ធផល ម៉ាស៊ីនបម្រើសំបុត្រនោះត្រូវបានលួចចូល ដែលនាំឱ្យមានការរំលោភបំពាន"។

ទោះជាយ៉ាងណាក៏ដោយ SmarterTools បានសង្កត់ធ្ងន់ថា ការរំលោភបំពាននេះមិនបានប៉ះពាល់ដល់គេហទំព័រ រទេះទិញទំនិញ វិបផតថលគណនីរបស់ខ្ញុំ និងសេវាកម្មជាច្រើនទៀតរបស់ខ្លួនទេ ហើយគ្មានកម្មវិធីអាជីវកម្ម ឬទិន្នន័យគណនីណាមួយត្រូវបានប៉ះពាល់ ឬលួចចូលនោះទេ។

ម៉ាស៊ីនមេ Windows ប្រហែល 12 នៅលើបណ្តាញការិយាល័យរបស់ក្រុមហ៊ុន ក៏ដូចជាមជ្ឈមណ្ឌលទិន្នន័យបន្ទាប់បន្សំដែលប្រើសម្រាប់ការធ្វើតេស្តត្រួតពិនិត្យគុណភាព (QC) ត្រូវបានបញ្ជាក់ថារងផលប៉ះពាល់។ យោងតាមនាយកប្រតិបត្តិរបស់ខ្លួន លោក Tim Uzzanti ការវាយប្រហារដោយ ransomware ក៏បានប៉ះពាល់ដល់អតិថិជនដែលប្រើប្រាស់ SmarterTrack ផងដែរ។

លោក Uzzanti បាននិយាយនៅក្នុងការគំរាមកំហែង Community Portal មួយផ្សេងទៀតថា "អតិថិជនដែលប្រើប្រាស់ SmarterTrack រងផលប៉ះពាល់ខ្លាំងបំផុត"។ "នេះមិនមែនដោយសារតែបញ្ហាណាមួយនៅក្នុង SmarterTrack ខ្លួនឯងនោះទេ ប៉ុន្តែដោយសារតែបរិយាកាសនោះងាយស្រួលចូលប្រើជាងបរិស្ថានផ្សេងទៀត នៅពេលដែលពួកគេបានបំពានបណ្តាញរបស់យើង"។

លើសពីនេះ SmarterTools បានទទួលស្គាល់ថាក្រុម Warlock បានរង់ចាំពីរបីថ្ងៃបន្ទាប់ពីទទួលបានការចូលប្រើដំបូង ដើម្បីគ្រប់គ្រងម៉ាស៊ីនមេ Active Directory និងបង្កើតអ្នកប្រើប្រាស់ថ្មី បន្ទាប់មកដោយទម្លាក់បន្ទុកបន្ថែមដូចជា Velociraptor និង locker ដើម្បីអ៊ិនគ្រីបឯកសារ។

លោក Curtis បាននិយាយថា "នៅពេលដែលជនអាក្រក់ទាំងនេះទទួលបានការចូលប្រើ ជាធម្មតាពួកគេដំឡើងឯកសារ ហើយរង់ចាំប្រហែល 6-7 ថ្ងៃមុនពេលចាត់វិធានការបន្ថែមទៀត"។ "នេះពន្យល់ពីមូលហេតុដែលអតិថិជនមួយចំនួនជួបប្រទះការសម្របសម្រួល សូម្បីតែបន្ទាប់ពីការអាប់ដេតក៏ដោយ -- ការបំពានដំបូងបានកើតឡើងមុនពេលអាប់ដេត ប៉ុន្តែសកម្មភាពព្យាបាទត្រូវបានបង្កឡើងនៅពេលក្រោយ"។

បច្ចុប្បន្ននេះមិនទាន់ច្បាស់ថាចំណុចខ្សោយ SmarterMail មួយណាដែលត្រូវបានវាយប្រហារដោយអ្នកវាយប្រហារនោះទេ ប៉ុន្តែវាគួរឱ្យកត់សម្គាល់ថាចំណុចខ្សោយជាច្រើននៅក្នុងកម្មវិធីអ៊ីមែល - CVE-2025-52691 (ពិន្ទុ CVSS: 10.0), CVE-2026-23760 និង CVE-2026-24423 (ពិន្ទុ CVSS: 9.3) - បានរងការកេងប្រវ័ញ្ចយ៉ាងសកម្មនៅក្នុងពិភពពិត។

CVE-2026-23760 គឺជាចំណុចខ្សោយឆ្លងកាត់ការផ្ទៀងផ្ទាត់ដែលអាចអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ណាមួយកំណត់ពាក្យសម្ងាត់អ្នកគ្រប់គ្រងប្រព័ន្ធ SmarterMail ឡើងវិញដោយផ្ញើសំណើ HTTP ដែលបង្កើតឡើងជាពិសេស។ ម្យ៉ាងវិញទៀត CVE-2026-24423 កេងប្រវ័ញ្ចចំណុចខ្សោយនៅក្នុងវិធីសាស្ត្រ ConnectToHub API ដើម្បីសម្រេចបាននូវការប្រតិបត្តិកូដពីចម្ងាយដែលមិនបានផ្ទៀងផ្ទាត់ (RCE)។

ភាពងាយរងគ្រោះទាំងនេះត្រូវបានដោះស្រាយដោយ SmarterTools នៅក្នុង build 9511។ កាលពីសប្តាហ៍មុន ទីភ្នាក់ងារសន្តិសុខ និងហេដ្ឋារចនាសម្ព័ន្ធអ៊ីនធឺណិតរបស់សហរដ្ឋអាមេរិក (CISA) បានបញ្ជាក់ថា CVE-2026-24423 កំពុងត្រូវបានកេងប្រវ័ញ្ចក្នុងការវាយប្រហារ ransomware។

នៅក្នុងរបាយការណ៍មួយដែលបានចេញផ្សាយនៅថ្ងៃចន្ទ ក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិត ReliaQuest បាននិយាយថា ខ្លួនបានកំណត់អត្តសញ្ញាណសកម្មភាពដែលទំនងជាភ្ជាប់ទៅនឹង Warlock ដែលពាក់ព័ន្ធនឹងការរំលោភបំពាន CVE-2026-23760 ដើម្បីរំលងការផ្ទៀងផ្ទាត់ និងរៀបចំ payload ransomware នៅលើប្រព័ន្ធដែលប្រឈមមុខនឹងអ៊ីនធឺណិត។ ការវាយប្រហារនេះក៏ទាញយកអត្ថប្រយោជន៍ពីការចូលប្រើដំបូងដើម្បីទាញយកកម្មវិធីដំឡើង MSI ដែលមានគំនិតអាក្រក់ ("v4.msi") ពី Supabase ដែលជាវេទិកា backend ដែលមានមូលដ្ឋានលើពពកស្របច្បាប់ ដើម្បីដំឡើង Velociraptor។

អ្នកស្រាវជ្រាវសន្តិសុខ Alexa Feminella បាននិយាយថា "ខណៈពេលដែលភាពងាយរងគ្រោះនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហាររំលងការផ្ទៀងផ្ទាត់ និងកំណត់ពាក្យសម្ងាត់អ្នកគ្រប់គ្រងឡើងវិញ Storm-2603 ភ្ជាប់ការចូលប្រើនេះជាមួយនឹងមុខងារ 'Volume Mount' ដែលភ្ជាប់មកជាមួយកម្មវិធី ដើម្បីទទួលបានការគ្រប់គ្រងប្រព័ន្ធពេញលេញ"។ «ពេលចូល ក្រុមនេះដំឡើង Velociraptor ដែលជាឧបករណ៍កោសល្យវិច្ច័យឌីជីថលស្របច្បាប់ដែលខ្លួនបានប្រើក្នុងយុទ្ធនាការមុនៗ ដើម្បីរក្សាការចូលប្រើ និងរៀបចំដំណាក់កាលសម្រាប់ ransomware»។

ក្រុមសន្តិសុខក៏បានកត់សម្គាល់ផងដែរថា ភាពងាយរងគ្រោះទាំងពីរមានលទ្ធផលសុទ្ធដូចគ្នា៖ ខណៈពេលដែល CVE-2026-23760 ផ្តល់ការចូលប្រើរដ្ឋបាលដែលមិនបានផ្ទៀងផ្ទាត់តាមរយៈ API កំណត់ពាក្យសម្ងាត់ឡើងវិញ ដែលបន្ទាប់មកអាចត្រូវបានផ្សំជាមួយនឹងតក្កវិជ្ជាម៉ោនដើម្បីសម្រេចបាននូវការប្រតិបត្តិកូដ CVE-2026-24423 ផ្តល់នូវផ្លូវផ្ទាល់ជាងមុនទៅកាន់ការប្រតិបត្តិកូដតាមរយៈផ្លូវ API។

ការពិតដែលថាអ្នកវាយប្រហារកំពុងបន្តវិធីសាស្ត្រមុនគឺជាការចង្អុលបង្ហាញថាវាទំនងជាអនុញ្ញាតឱ្យសកម្មភាពព្យាបាទលាយឡំជាមួយលំហូរការងាររដ្ឋបាលធម្មតា ដែលជួយពួកគេជៀសវាងការរកឃើញ។

លោកស្រី Feminella បានបន្ថែមថា «ដោយការរំលោភបំពានលើលក្ខណៈពិសេសស្របច្បាប់ (ការកំណត់ពាក្យសម្ងាត់ឡើងវិញ និងការម៉ោនដ្រាយ) ជំនួសឱ្យការពឹងផ្អែកតែលើការកេងប្រវ័ញ្ច 'សំឡេងរំខាន' តែមួយ ប្រតិបត្តិករអាចកាត់បន្ថយប្រសិទ្ធភាពនៃការរកឃើញដែលត្រូវបានលៃតម្រូវជាពិសេសសម្រាប់លំនាំ RCE ដែលគេស្គាល់»។ «ល្បឿននៃការធ្វើអាវុធនេះគឺស្របនឹងប្រតិបត្តិករ ransomware ដែលវិភាគយ៉ាងឆាប់រហ័សនូវការជួសជុលរបស់អ្នកលក់ និងអភិវឌ្ឍ tradecraft ដែលកំពុងដំណើរការភ្លាមៗបន្ទាប់ពីការចេញផ្សាយ»។

នៅពេលទាក់ទងសុំការអត្ថាធិប្បាយអំពីសកម្មភាព Warlock ransomware ដែលកំណត់គោលដៅ SmarterTools ក្រុមហ៊ុន ReliaQuest បានប្រាប់ The Hacker News ថា ខ្លួនបានសង្កេតឃើញអ្នកវាយប្រហារកំពុងកេងប្រវ័ញ្ច CVE-2026-23760 លើប្រព័ន្ធដែលមិនទាន់បានជួសជុល ដែលដំណើរការកំណែមុន Build 9511 មិនយូរប៉ុន្មានបន្ទាប់ពីការជួសជុលត្រូវបានចេញផ្សាយ។

ក្រុមហ៊ុនបាននិយាយនៅក្នុងសេចក្តីថ្លែងការណ៍តាមអ៊ីមែលមួយថា "យើងបានបញ្ជាក់ថាភាពងាយរងគ្រោះជាក់លាក់នេះត្រូវបានប្រើប្រាស់ ពីព្រោះយើងបានសង្កេតឃើញសំណើកំណត់ពាក្យសម្ងាត់ឡើងវិញដោយជោគជ័យ ដែលមានការបញ្ចូលជាក់លាក់ដែលត្រូវបានរចនាឡើងដើម្បីទទួលយកគណនីអ្នកគ្រប់គ្រងប្រព័ន្ធដែលភ្ជាប់មកជាមួយ"។ "យើងក៏បានឃើញការហៅ API ដែលស្របនឹងការស៊ើបអង្កេតសម្រាប់ភាពងាយរងគ្រោះទីពីរ គឺ CVE-2026-24423 ក្នុងអំឡុងពេលដូចគ្នា។ ទោះជាយ៉ាងណាក៏ដោយ សកម្មភាពកំណត់ពាក្យសម្ងាត់ឡើងវិញដោយជោគជ័យបញ្ជាក់ថា CVE-2026-23760 គឺជាវិធីសាស្ត្រដែលប្រើដើម្បីទទួលបានការចូលប្រើដំបូង"។

អ្នកប្រើប្រាស់ SmarterMail ត្រូវបានណែនាំឱ្យធ្វើឱ្យប្រសើរឡើងទៅកំណែចុងក្រោយបំផុត (Build 9526) ដែលមានប្រសិទ្ធភាពភ្លាមៗសម្រាប់ការការពារដ៏ល្អប្រសើរ និងញែកម៉ាស៊ីនមេអ៊ីមែលដើម្បីរារាំងការប៉ុនប៉ងធ្វើចលនាចំហៀងដែលប្រើដើម្បីដាក់ពង្រាយ ransomware។

ការអាប់ដេត

នៅក្នុងសេចក្តីថ្លែងការណ៍មួយដែលបានចែករំលែកតាមរយៈអ៊ីមែល លោក Ryan Dewhurst ប្រធានផ្នែកស៊ើបការណ៍សម្ងាត់គំរាមកំហែងរបស់ watchTowr បានប្រាប់ The Hacker News ថា ការកេងប្រវ័ញ្ចទ្រង់ទ្រាយធំនៃ CVE-2026-24423 បានចាប់ផ្តើមនៅថ្ងៃទី 28 ខែមករា ឆ្នាំ 2026 ហើយវាបានសង្កេតឃើញការប៉ុនប៉ងកេងប្រវ័ញ្ចជាង 1,000 ដែលមានប្រភពមកពីអាសយដ្ឋាន IP របស់អ្នកវាយប្រហារប្រហែល 60 ដែលមានតែមួយគត់។ ក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិតបាននិយាយថា ខ្លួនក៏បានកំណត់អត្តសញ្ញាណ URL hubAddress ច្រើនដែលប្រើសម្រាប់ការហៅត្រឡប់មកវិញក្រៅក្រុមផងដែរ។

លោក Dewhurst បាននិយាយថា "នេះគឺជាប៉ារ៉ាម៉ែត្រងាយរងគ្រោះ (POST) ដែលអនុញ្ញាតឱ្យអ្នកគំរាមកំហែងហៅអាសយដ្ឋានខាងក្រៅ។ អាសយដ្ឋានខាងក្រៅរបស់អ្នកវាយប្រហារបន្ទាប់មកឆ្លើយតបជាមួយនឹងពាក្យបញ្ជាតាមអំពើចិត្តដើម្បីប្រតិបត្តិ"។ "សញ្ញាសម្គាល់ដែលស៊ីសង្វាក់គ្នានៅក្នុងសំណើទាំងនេះគឺវាល nodeName ដែលជារឿយៗត្រូវបានកំណត់ទៅជាជនរងគ្រោះ-$unix_epoch។ វាហាក់ដូចជាវិធីសាមញ្ញ ប៉ុន្តែមានប្រសិទ្ធភាពសម្រាប់អ្នកវាយប្រហារក្នុងការដាក់ស្លាកជនរងគ្រោះ និងភ្ជាប់ការហៅត្រឡប់មកវិញ - គ្មានអ្វីចម្លែកទេ ប៉ុន្តែវាដំណើរការ"។

លើសពីនេះ watchTowr បានចង្អុលបង្ហាញថា ការកេងប្រវ័ញ្ចនៅតែមានស្ថេរភាពជាប់លាប់ចាប់តាំងពីវាត្រូវបានគេសង្កេតឃើញជាលើកដំបូង ដោយចុងសប្តាហ៍គឺជាករណីលើកលែងដ៏សំខាន់មួយ។

លោក Dewhurst បាននិយាយថា "សកម្មភាពធ្លាក់ចុះយ៉ាងខ្លាំង ហើយបន្ទាប់មកងើបឡើងវិញយ៉ាងឆាប់រហ័សនៅដើមសប្តាហ៍ធ្វើការ"។ "វាហាក់ដូចជាភាគច្រើនត្រូវបានជំរុញដោយប្រតិបត្តិករក្នុងអំឡុងពេលម៉ោងធ្វើការ។ ទោះយ៉ាងណាក៏ដោយ ការកេងប្រវ័ញ្ចកំពុងបន្ត ធ្វើម្តងទៀត ហើយនៅតែអាចទស្សន៍ទាយបាន។ ប្រសិនបើអ្នកមិនទាន់បានជួសជុលវាទេ អ្នកប្រហែលជាសន្មតថាអ្នកត្រូវបានគេលួចចូល។ សូម្បីតែអ្នកលក់ខ្លួនឯងក៏ត្រូវបានគេចាប់បានដោយមិនបានប្រុងប្រយ័ត្នជាមួយនឹងម៉ាស៊ីនមេហួសសម័យដែលត្រូវបានវាយប្រហារ។ ប្រសិនបើអ្នកដែលដឹកជញ្ជូនការជួសជុលអាចខកខានវា គ្មាននរណាម្នាក់ទទួលបានលិខិតឆ្លងដែនដោយឥតគិតថ្លៃនោះទេ"។