SmarterTools গত সপ্তাহে নিশ্চিত করেছে যে ওয়ারলক র্যানসমওয়্যার গ্যাং ইমেল সিস্টেমের সাথে আপস করার পরে তার নেটওয়ার্ক লঙ্ঘন করেছে, তবে এটি ব্যবসায়িক অ্যাপ্লিকেশন বা অ্যাকাউন্ট ডেটাতে কোনও প্রভাব ফেলেনি।
কোম্পানির চিফ কমার্শিয়াল অফিসার ডেরেক কার্টিস বলেছেন যে 29শে জানুয়ারী একজন কর্মচারী দ্বারা ইনস্টল করা একক SmarterMail ভার্চুয়াল মেশিন (VM) এর মাধ্যমে অনুপ্রবেশ ঘটেছে।
“লঙ্ঘনের আগে, আমাদের নেটওয়ার্ক জুড়ে SmarterMail এর সাথে প্রায় 30টি সার্ভার/VM ইনস্টল করা ছিল,” কার্টিস বলেছিলেন।
“দুর্ভাগ্যবশত, আমরা একজন কর্মচারীর দ্বারা ইনস্টল করা একটি VM সম্পর্কে অজানা ছিলাম যা আপডেট করা হচ্ছিল না। ফলস্বরূপ, সেই মেল সার্ভারে আপস করা হয়েছে, যার ফলে লঙ্ঘন হয়েছে।”
যদিও SmarterTools আশ্বস্ত করেছে যে গ্রাহকের ডেটা এই লঙ্ঘনের দ্বারা সরাসরি প্রভাবিত হয়নি, কোম্পানির অফিস নেটওয়ার্কের 12টি Windows সার্ভার, সেইসাথে ল্যাবরেটরি পরীক্ষা, মান নিয়ন্ত্রণ এবং হোস্টিংয়ের জন্য ব্যবহৃত একটি সেকেন্ডারি ডেটা সেন্টারের সাথে আপস করা হয়েছে বলে নিশ্চিত করা হয়েছে।
আক্রমণকারীরা উইন্ডোজ-কেন্দ্রিক টুলিং এবং অধ্যবসায় পদ্ধতি ব্যবহার করে সক্রিয় ডিরেক্টরির মাধ্যমে সেই দুর্বল ভিএম থেকে পার্শ্ববর্তীভাবে স্থানান্তরিত হয়েছিল। লিনাক্স সার্ভারগুলি, যা কোম্পানির বেশিরভাগ অবকাঠামো তৈরি করে, আক্রমণ দ্বারা আপোস করা হয়নি।
অ্যাক্সেস পেতে আক্রমণে যে দুর্বলতাকে কাজে লাগানো হয়েছে তা হল CVE-2026-23760, যা বিল্ড 9518 এর আগে SmarterMail-এ একটি প্রমাণীকরণ বাইপাস ত্রুটি, যা অ্যাডমিনিস্ট্রেটর পাসওয়ার্ড রিসেট করতে এবং সম্পূর্ণ সুযোগ-সুবিধা অর্জন করতে দেয়।
SmarterTools রিপোর্ট করে যে আক্রমণগুলি ওয়ারলক র্যানসমওয়্যার গ্রুপ দ্বারা পরিচালিত হয়েছিল, যা অনুরূপ কার্যকলাপ ব্যবহার করে গ্রাহক মেশিনগুলিকেও প্রভাবিত করেছে।
র্যানসমওয়্যার অপারেটররা প্রাথমিক অ্যাক্সেস পাওয়ার পরে প্রায় এক সপ্তাহ অপেক্ষা করেছিল, চূড়ান্ত পদক্ষেপটি সমস্ত অ্যাক্সেসযোগ্য মেশিনের এনক্রিপশন।
যাইহোক, এই ক্ষেত্রে, সেন্টিনেল ওয়ান সুরক্ষা পণ্যগুলি চূড়ান্ত পেলোডের এনক্রিপশন বন্ধ করে দিয়েছে, প্রভাবিত সিস্টেমগুলিকে বিচ্ছিন্ন করা হয়েছে এবং নতুন ব্যাকআপ থেকে ডেটা পুনরুদ্ধার করা হয়েছে।
কোম্পানির মতে, আক্রমণে ব্যবহৃত সরঞ্জামগুলির মধ্যে VelociRaptor, SimpleHelp এবং WinRAR এর দুর্বল সংস্করণ অন্তর্ভুক্ত ছিল, যখন স্টার্টআপ আইটেম এবং নির্ধারিত কাজগুলিও অধ্যবসায়ের জন্য ব্যবহার করা হয়েছিল।
Cisco Talos পূর্বে রিপোর্ট করেছে যে হুমকি অভিনেতারা ওপেন সোর্স DeFi টুল VelociRaptor অপব্যবহার করছে।
2025 সালের অক্টোবরে, হ্যালসিয়ন সাইবার সিকিউরিটি কোম্পানি ওয়ারলক র্যানসমওয়্যার গ্যাংকে স্টর্ম-2603 হিসাবে ট্র্যাক করা একটি চীনা জাতি-রাষ্ট্র অভিনেতার সাথে যুক্ত করেছে।
ReliaQuest একটি প্রতিবেদন প্রকাশ করেছে যা নিশ্চিত করে যে কার্যকলাপটি Storm-2603 এর সাথে মাঝারি থেকে উচ্চ আত্মবিশ্বাসের সাথে যুক্ত।
“যদিও এই দুর্বলতা আক্রমণকারীদের প্রমাণীকরণ বাইপাস করতে এবং প্রশাসক পাসওয়ার্ড রিসেট করতে দেয়, স্টর্ম-2603 সম্পূর্ণ সিস্টেম নিয়ন্ত্রণ পেতে সফ্টওয়্যারের অন্তর্নির্মিত ‘ভলিউম মাউন্ট’ বৈশিষ্ট্যের সাথে এই অ্যাক্সেসকে একত্রিত করে,” রিলিয়াকুয়েস্ট বলেছেন।
“প্রবেশের পরে, গ্রুপটি VelociRaptor ইনস্টল করে, এটি একটি বৈধ ডিজিটাল ফরেনসিক সরঞ্জাম যা এটি পূর্ববর্তী প্রচারাভিযানে ব্যবহার করেছে, অ্যাক্সেস বজায় রাখতে এবং র্যানসমওয়্যারের জন্য স্টেজ সেট করতে।”
ReliaQuest CVE-2026-24423-এর জন্য তদন্তও দেখেছে, CISA দ্বারা চিহ্নিত আরেকটি SmarterMail ত্রুটি, যা গত সপ্তাহে ransomware অভিনেতাদের দ্বারা সক্রিয়ভাবে শোষিত হয়েছিল, যদিও প্রাথমিক ভেক্টরটি ছিল CVE-2026-23760।
গবেষকরা উল্লেখ করেছেন যে CVE-2026-24423 রিমোট কোড এক্সিকিউশন অর্জনের জন্য আরও সরাসরি API পাথ প্রদান করে, কিন্তু CVE-2026-23760 কম শোরগোল হতে পারে, বৈধ প্রশাসনিক কার্যকলাপে মিশ্রিত হতে পারে, যে কারণে Storm-2603 এর পরিবর্তে সেই পথ বেছে নিতে পারে।
SmarterMail পণ্যের সাম্প্রতিক সব বাগ মোকাবেলা করার জন্য, প্রশাসকদের যত তাড়াতাড়ি সম্ভব 9511 বা পরবর্তীতে আপগ্রেড করার পরামর্শ দেওয়া হচ্ছে।
আধুনিক আইটি অবকাঠামো ম্যানুয়াল ওয়ার্কফ্লোগুলির চেয়ে দ্রুত চলে।
এই নতুন Tynes গাইডে, শিখুন কিভাবে আপনার দল লুকানো ম্যানুয়াল বিলম্ব কমাতে পারে, স্বয়ংক্রিয় প্রতিক্রিয়ার মাধ্যমে নির্ভরযোগ্যতা উন্নত করতে পারে এবং আপনি ইতিমধ্যেই যে সরঞ্জামগুলি ব্যবহার করছেন তার উপরে বুদ্ধিমান ওয়ার্কফ্লোগুলি তৈরি এবং স্কেল করতে পারে৷
