워록 랜섬웨어 조직이 최신 버전으로 업데이트되지 않은 스마트메일(SmarterMail) 서버 취약점을 악용해 스마트툴스(SmarterTools)의 네트워크를 침해한 사건이 발생했다.

 

IT 보안 매체 시사(The Hacker News)는 스마트툴스가 워록(Warlock, 스톰-2603·Storm-2603) 랜섬웨어 조직이 패치되지 않은 스마트메일 인스턴스를 악용해 자사 네트워크에 침입한 사실을 지난주 확인했다고 보도했다.

 

스마트툴스 최고커머셜책임자 데릭 커티스(Derek Curtis)는 이번 사고가 1월 29일(현지 시간)에 발생했으며 최신 버전으로 업데이트되지 않은 메일 서버가 침해됐다고 밝혔다.

 

커티스 최고커머셜책임자는 침해 이전까지 네트워크 전체에 스마트메일이 설치된 서버와 가상머신(VM)이 약 30대 있었으나, 한 직원이 구축한 VM 한 대가 업데이트 대상에서 누락돼 있었고, 이 메일 서버가 침해되면서 전체 침해로 이어졌다고 설명했다. 다만 스마트툴스는 이번 침해가 자사 웹사이트와 쇼핑 카트, 마이 어카운트(My Account) 포털과 기타 여러 서비스에는 영향을 미치지 않았으며, 어떤 비즈니스 애플리케이션이나 계정 데이터도 영향을 받거나 유출되지 않았다고 강조했다.

 

회사에 따르면 사무실 네트워크 내 윈도우 서버 12대와 품질 관리(QC) 테스트용으로 사용되는 보조 데이터센터가 영향을 받은 것으로 확인됐다. 스마트툴스 최고경영자 팀 우잔티(Tim Uzzanti)는 이른바 ‘랜섬웨어 시도 공격’이 스마트트랙(SmarterTrack)을 사용하는 호스팅 고객에도 영향을 미쳤다고 밝혔다.

 

우잔티 최고경영자는 별도의 커뮤니티 포털 글에서 스마트트랙 호스팅 고객이 가장 큰 피해를 입었는데, 이는 스마트트랙 자체 문제 때문이 아니라 공격자가 네트워크를 침입한 뒤 그 환경이 다른 환경보다 더 쉽게 접근 가능했기 때문이라고 설명했다.

 

스마트툴스는 워록 조직이 초기 침입에 성공한 뒤 며칠을 대기하며 액티브 디렉터리(Active Directory) 서버를 장악하고 새 사용자를 생성했으며, 이후 벨로시랩터(Velociraptor)와 파일 암호화용 락커(locker) 등 추가 페이로드를 투입했다고 밝혔다.

 

커티스 최고커머셜책임자는 이들 공격자가 네트워크에 접근하면 보통 파일을 설치한 뒤 약 6~7일간 대기했다가 추가 행위를 개시한다며, 일부 고객이 업데이트를 마친 뒤에도 침해를 경험한 것은 초기 침입이 업데이트 이전에 발생했고 악성 활동이 나중에 트리거됐기 때문이라고 설명했다.

 

공격자들이 어떤 스마트메일 취약점을 악용했는지는 아직 명확하지 않다. 다만 시사는 이메일 소프트웨어인 스마트메일에서 CVE-2025-52691(공격 점수 10.0), CVE-2026-23760, CVE-2026-24423(공격 점수 9.3) 등 여러 취약점이 실제 환경에서 활발히 악용되고 있다고 전했다.

 

CVE-2026-23760은 특수 제작된 HTTP 요청을 보내면 누구나 스마트메일 시스템 관리자 비밀번호를 재설정할 수 있는 인증 우회 취약점이다. CVE-2026-24423은 반대로 커넥트투허브(ConnectToHub) API 메서드의 약점을 이용해 인증 없이 원격 코드 실행(RCE)을 달성하는 취약점이다. 이들 취약점은 스마트툴스가 빌드(Build) 9511에서 패치했으며, 미국 사이버보안·인프라보안국 CISA는 지난주 CVE-2026-24423이 랜섬웨어 공격에 악용되고 있다고 확인했다.

 

사이버 보안 기업 릴리아퀘스트(ReliaQuest)는 2월 10일(현지 시간) 발표한 보고서에서 워록 조직과 연관된 것으로 보이는 활동을 확인했으며, 이 활동이 CVE-2026-23760을 악용해 인증을 우회하고 인터넷에 노출된 시스템에 랜섬웨어 페이로드를 배치했다고 밝혔다.

 

보고서에 따르면 이 공격은 초기 접근 권한을 활용해 정식 클라우드 기반 백엔드 플랫폼 수퍼베이스(Supabase)에서 악성 MSI 설치 파일 ‘v4.msi’를 다운로드한 뒤 벨로시랩터를 설치하는 방식도 사용했다.

 

릴리아퀘스트 보안 연구원 알렉사 페미넬라(Alexa Feminella)는 이 취약점이 공격자에게 인증을 우회하고 관리자 비밀번호를 재설정할 수 있게 하지만, 스톰-2603은 이 접근 권한을 소프트웨어에 내장된 ‘볼륨 마운트(Volume Mount)’ 기능과 연쇄해 시스템 전체 제어 권한을 얻는다고 설명했다.

 

페미넬라 연구원은 침입 후 이 그룹이 이전 캠페인에서도 사용한 합법적인 디지털 포렌식 도구 벨로시랩터를 설치해 접근을 유지하고 랜섬웨어 실행을 준비한다고 덧붙였다.

 

릴리아퀘스트는 또 두 취약점이 결국 같은 결과를 낳는다고 지적했다. 즉 CVE-2026-23760은 비밀번호 재설정 API를 통해 인증 없이 관리자 권한을 부여하고, 이후 마운트 로직과 결합해 코드 실행 권한을 획득하게 하며, CVE-2026-24423은 API 경로를 통한 보다 직접적인 코드 실행 경로를 제공한다는 것이다. 공격자가 전자를 선택해 악용하는 것은 이 방법이 악성 활동을 일반적인 관리자 작업 흐름 속에 자연스럽게 섞이도록 해 탐지를 피하기 용이하기 때문일 가능성을 시사한다.

 

페미넬라 연구원은 비밀번호 재설정과 드라이브 마운트 같은 합법적 기능을 남용함으로써 알려진 RCE 패턴에 맞춰 튜닝된 탐지 기법의 효율을 떨어뜨릴 수 있다며, 이러한 무기화 속도는 랜섬웨어 운영자들이 벤더의 수정 사항을 빠르게 분석하고 공개 직후 곧바로 실사용 가능한 공격 기법을 개발하는 경향과 일치한다고 말했다.

 

릴리아퀘스트는 시사에 보낸 이메일 답변에서, 빌드 9511 이전 버전이 설치된 패치되지 않은 시스템에서 패치 공개 직후 CVE-2026-23760이 악용되는 공격을 관찰했다고 밝혔다. 회사 측은 내장 시스템 관리자 계정을 탈취하기 위해 설계된 특정 입력값을 포함한 비밀번호 재설정 요청이 성공하는 것을 관찰했기 때문에 해당 취약점이 사용된 것으로 확인했다며, 같은 기간 CVE-2026-24423을 탐색하는 것으로 보이는 API 호출도 목격했으나, 성공적인 비밀번호 재설정 활동이 CVE-2026-23760이 초기 침입 수단이었음을 입증한다고 설명했다.

 

스마트메일 이용자들에게는 최적의 보호를 위해 즉시 최신 버전인 빌드 9526으로 업그레이드하고, 메일 서버를 분리해 랜섬웨어 배포에 사용되는 측면 이동 시도를 차단할 것을 권고했다.

 

이어진 업데이트에서 워치타워(watchTowr) 위협 인텔리전스 책임자 라이언 듀허스트(Ryan Dewhurst)는 이메일 성명을 통해 CVE-2026-24423의 대규모 악용이 1월 28일(현지 시간) 시작됐으며, 약 60개의 고유 공격자 IP 주소에서 1,000건이 넘는 악용 시도가 관찰됐다고 시사에 밝혔다.

 

듀허스트 책임자는 이 취약점은 위협 행위자가 외부 주소를 호출할 수 있도록 하는 취약한 POST 매개변수를 이용하며, 공격자의 외부 주소는 임의 명령을 응답으로 보내 실행하게 된다고 설명했다. 그는 이러한 요청의 일관된 표시로 nodeName 필드가 종종 ‘victim-$unix_epoch’로 설정되는데, 이는 공격자가 피해자와 콜백을 연계해 라벨링하는 단순하지만 효과적인 방식으로 보인다고 말했다.

 

듀허스트 책임자는 활동이 주말에 급감했다가 업무 주 초반에 다시 빠르게 증가한다며, 주로 근무 시간대에 운영자에 의해 이뤄지는 것으로 보인다고 말했다. 그는 패치를 적용하지 않았다면 이미 침해됐다고 가정해야 할 것이라며, 수정 패치를 배포한 벤더조차 업데이트가 되지 않은 서버 한 대가 공격을 받은 사실을 뒤늦게 확인한 만큼, 그 누구도 예외가 될 수 없다고 밝혔다.

 

헬로티 |