Консультативний звіт про загрозу: зловмисники посилюють експлуатацію Bomgar RMM
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Huntress повідомила про зростання атак, що зловживають скомпрометованими екземплярами Bomgar для віддаленого моніторингу та управління після публічного розкриття CVE-2026-1731. Зловмисники використовували вразливість для віддаленого виконання коду, створення облікових записів з високими привілеями та розгортання додаткового програмного забезпечення для віддаленого доступу та програм викупу. У кількох випадках ця активність призвела до розгортання програм викупу LockBit разом із такими інструментами, як AnyDesk та Atera. Кампанія вплинула як на прямих клієнтів Bomgar, так і на підпорядковані організації, які вони обслуговують.
Розслідування
SOC Huntress відстежувала кілька інцидентів з лютого по квітень 2026 року та ідентифікувала зловмисну активність, пов’язану з bomgar-scc.exe, коли зловмисники використовували викрадені сесії RMM для запуску таких інструментів, як NetScan, HRSword та нестандартних драйверів. Зловмисники створили нові облікові записи локальних та доменних адміністраторів, встановили вторинні агенти RMM та виконали завантаження з програми викупу LockBit LB3.exe. Розслідувачі також виявили ознаки використання лічки конструктора LockBit 3.0 та технологій з вразливими драйверами у середовищах, які зазнали впливу.
Захист
Організації повинні застосувати офіційні виправлення BeyondTrust Remote Support, які вирішують CVE-2026-1731, та оновити системи до версії 25.3.2 або пізнішої. Командам безпеки слід також стежити за непередбаченим створенням облікових записів з привілеями, виконанням несанкціонованих інструментів RMM, підозрілими запланованими завданнями та незвичними встановленнями драйверів. Сильніші засоби доступу та жорсткіший контроль платформ RMM є необхідними для зменшення ризику подібних компрометацій.
Відповідь
Якщо ця активність виявлена, ізолюйте уражені системи негайно, анулюйте скомпрометовані облікові дані Bomgar та видаліть несанкціоновані засоби віддаленого управління з середовища. Відповідні особи повинні виконати судово-медичний аналіз, щоб виявити програми викупу, механізми стійкості та будь-який бічний рух. Відновлення слід проводити за допомогою чистих резервних копій, а підлеглі клієнти повинні бути повідомлені своєчасно, щоб можна було розпочати скоординовані заходи з усунення та підвищення безпеки.
Потік атаки
Виявлення
Додати користувача до локальних адміністраторів (через командний рядок)
Переглянути
Підозріле виконання з каталогу PerfLogs (через створення процесу)
Переглянути
Альтернативне програмне забезпечення для віддаленого доступу/управління (через створення процесу)
Переглянути
Альтернативне програмне забезпечення для віддаленого доступу/управління (через систему)
Переглянути
Альтернативне програмне забезпечення для віддаленого доступу/управління (через аудиту)
Переглянути
IOC (HashSha256) для виявлення: Сповіщення загрози: Сплеск експлуатації Bomgar RMM
Переглянути
IOC (SourceIP) для виявлення: Сповіщення загрози: Сплеск експлуатації Bomgar RMM
Переглянути
IOC (DestinationIP) для виявлення: Сповіщення загрози: Сплеск експлуатації Bomgar RMM
Переглянути
Виявлення додавання користувача до груп адміністраторів через експлуатацію Bomgar [Журнал подій безпеки Microsoft Windows]
Переглянути
Виявлення зловмисних процесів у зкомпрометованих екземплярах Bomgar RMM [Створення процесу в Windows]
Переглянути
Виконання симуляції
Умова: перевірка телеметрії та базової лінії повинна бути пройдена.
Розуміння: цей розділ детально описує точне виконання техніки супротивника (TTP), розробленої для запуску правила виявлення. Команди та наративи МУСЯТЬ безпосередньо відображати ідентифіковані TTP та націлені на створення очікуваної телеметрії для логіки виявлення.
-
Наратив атаки та команди:
- Початковий доступ: Зловмисник використовує скомпрометовану сесію Bomgar, щоб відкрити віддалену командну строку на цільовій машині.
- Підготовка облікових даних: Зловмисник знає фрагмент пароля доменного адміністратора жертви
Adminpwd123.1та викраденого сервісного токена123123qwEqwE. - Ескалація привілеїв: Щоб замаскувати злегітимною активністю, зловмисник запускає нативний
net.exeбінарний файл, вбудовуючи обидва фрагменти у командний рядок (фрагменти не потрібні дляnetоперації, але задовольнять правила відповідності рядків). - Додавання до групи: Зловмисник додає нещодавно створеного користувача
eviladminдо обох груп: Локальні адміністратори та Доменні адміністратори.
Точний рядок команд, який виконується на скомпрометованому хості, наступний:
cmd /c "net localgroup administrators eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"Подібна команда запускається для доменної групи:
cmd /c "net group "Domain Admins" eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1" -
Скрипт тестування регресії:
#========================================================================= # Тест додавання до групи експлуатації Bomgar – тригери Sigma правила a1672291‑... #========================================================================= $user = "eviladmin" $pwdFragment = "123123qwEqwE" $adminPwdFragment = "Adminpwd123.1" # Додати до локальних адміністраторів (net.exe) $localCmd = "net localgroup administrators $user /add && echo $pwdFragment && echo $adminPwdFragment" Write-Host "Виконання додавання до локальних адміністраторів..." cmd.exe /c $localCmd # Додати до доменних адміністраторів (net.exe) – передбачається, що машина приєднана до домену $domainCmd = "net group `"Domain Admins`" $user /add && echo $pwdFragment && echo $adminPwdFragment" Write-Host "Виконання додавання до доменних адміністраторів..." cmd.exe /c $domainCmd -
Команди очищення:
# Видалення тестового користувача з привілейованих груп $user = "eviladmin" # Очищення місцевих адміністраторів cmd.exe /c "net localgroup administrators $user /delete" # Очищення доменних адміністраторів (вимагає прав доступу до домену) cmd.exe /c "net group `"Domain Admins`" $user /delete"