2026 yılının Ocak ayında, güncellenmemiş SmarterMail posta sunucularındaki bir dizi kritik güvenlik açığı, Warlock fidye yazılımı grubunun hedef ağlara sızmasına olanak sağladı. Saldırı, özellikle SmarterTrack platformunu kullanan barındırılan müşteriler ile şirketin ofis ağı ve ikincil veri merkezi üzerindeki Windows sunucularını etkiledi.
Saldırının Genel Çerçevesi
Olay, 29 Ocak 2026 tarihinde, şirketin Ticari Direktörü Derek Curtis’in açıklamasına göre, güncellenmemiş ve fark edilmeyen bir SmarterMail VM’sinin ele geçirilmesiyle başladı. Warlock grubu, ilk erişimden birkaç gün sonra Active Directory sunucusunu kontrol altına alarak yeni kullanıcılar oluşturdu ve Velociraptor ile locker gibi zararlı yazılımlar bıraktı. Bu araçlar, saldırganların ağda kalıcılık sağlamasına ve dosyaları şifreleyerek fidye talebinde bulunmasına zemin hazırladı.
Saldırı Zinciri ve Teknik Detaylar
Saldırıda kullanılan başlıca güvenlik açıkları şunlardır:
- CVE-2025-52691 (CVSS 10.0): SmarterMail’deki kritik bir zafiyet.
- CVE-2026-23760 (CVSS 9.3): Kimlik doğrulama atlatma açığı, özel HTTP istekleriyle sistem yöneticisi şifresinin sıfırlanmasına izin veriyor.
- CVE-2026-24423 (CVSS 9.3): ConnectToHub API’sinde kimlik doğrulaması olmadan uzaktan kod yürütme (RCE) açığı.
Warlock grubu, ilk erişimde CVE-2026-23760 üzerinden yönetici şifresini sıfırlayıp, ardından yazılımın “Volume Mount” özelliğini kullanarak tam sistem kontrolü sağladı. Sonrasında Velociraptor adlı meşru dijital adli bilişim aracı kurularak kalıcılık sağlandı ve fidye yazılımı için ortam hazırlandı. Bu teknik zincir, saldırganların tespit edilmesini zorlaştırmak için meşru iş akışlarına benzer hareketler yapmasına olanak tanıyor.
Hangi Sistemler Risk Altında?
Özellikle güncellenmemiş SmarterMail sunucuları, SmarterTrack kullanan barındırılan müşteriler ve şirketin ofis ağı üzerindeki Windows sunucuları hedef alındı. İkincil veri merkezindeki kalite kontrol test ortamları da saldırıdan etkilendi. SmarterTools tarafından yayımlanan build 9511 sürümü, bu kritik açıkları kapatmak için yayınlandı ancak saldırılar build 9511 öncesi sürümlerde yoğunlaştı.
Siber Güvenlik Ekipleri İçin Öneriler
- SmarterMail sunucularını derhal en son sürüme (Build 9526 ve sonrası) yükseltin.
- Active Directory erişimlerini sıkılaştırarak, yeni oluşturulan kullanıcı hesaplarını düzenli olarak denetleyin.
- Velociraptor ve benzeri araçların ağda kullanımını tespit etmek için EDR çözümlerini yapılandırın.
- Posta sunucularını ağ segmentasyonu ile izole ederek yan hareket saldırılarını engelleyin.
- Kimlik doğrulama atlatma ve RCE gibi kritik açıklar için SIEM sistemlerinde özel uyarılar oluşturun.
- Güvenlik duvarı ve IDS/IPS sistemlerinde SmarterMail protokolü trafiğini yakından izleyin.
- Olay müdahale planlarını güncelleyerek, fidye yazılımı saldırılarına karşı hızlı aksiyon alın.
- Çalışanları güncel yazılım kullanımı ve şüpheli aktiviteler konusunda bilinçlendirin.
Teknik Özet
- Kullanılan zararlılar: Velociraptor (adli bilişim aracı), locker (şifreleme aracı).
- Hedef sektörler: Kurumsal ağlar, barındırma hizmet sağlayıcıları, kalite kontrol ortamları.
- Kullanılan zafiyetler: CVE-2025-52691, CVE-2026-23760, CVE-2026-24423.
- Saldırı zinciri: Güncellenmemiş SmarterMail sunucusuna erişim → Yönetici şifresinin sıfırlanması (CVE-23760) → Volume Mount özelliğiyle tam kontrol → Velociraptor kurulumu → Dosyaların şifrelenmesi.
- Önerilen savunma: Yazılım güncelleme, ağ segmentasyonu, MFA, EDR ve SIEM tabanlı anomali tespiti.
Warlock grubunun bu saldırısı, güncel olmayan e-posta sunucularının ne denli kritik bir risk oluşturduğunu bir kez daha gösterdi. Özellikle kimlik doğrulama atlatma ve uzaktan kod yürütme açıklarının zincirlenmesi, saldırganlara geniş erişim imkanı sağladı. Bu nedenle, e-posta güvenliği ve ağ segmentasyonu gibi temel savunma mekanizmalarının güçlendirilmesi büyük önem taşıyor.
Son raporlar, fidye yazılımı saldırılarının karmaşık teknik zincirlerle gerçekleştiğini ve saldırganların meşru araçları kötüye kullanarak tespit edilme riskini azalttığını ortaya koyuyor. Kurumsal ortamların, bu tür gelişmiş tehditlere karşı kapsamlı bir güvenlik stratejisi benimsemesi gerekiyor.