Консультативний звіт про загрозу: зловмисники посилюють експлуатацію Bomgar RMM

SOC Prime Team

Стежити

Консультативний звіт про загрозу: зловмисники посилюють експлуатацію Bomgar RMM

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

Huntress повідомила про зростання атак, що зловживають скомпрометованими екземплярами Bomgar для віддаленого моніторингу та управління після публічного розкриття CVE-2026-1731. Зловмисники використовували вразливість для віддаленого виконання коду, створення облікових записів з високими привілеями та розгортання додаткового програмного забезпечення для віддаленого доступу та програм викупу. У кількох випадках ця активність призвела до розгортання програм викупу LockBit разом із такими інструментами, як AnyDesk та Atera. Кампанія вплинула як на прямих клієнтів Bomgar, так і на підпорядковані організації, які вони обслуговують.

Розслідування

SOC Huntress відстежувала кілька інцидентів з лютого по квітень 2026 року та ідентифікувала зловмисну активність, пов’язану з bomgar-scc.exe, коли зловмисники використовували викрадені сесії RMM для запуску таких інструментів, як NetScan, HRSword та нестандартних драйверів. Зловмисники створили нові облікові записи локальних та доменних адміністраторів, встановили вторинні агенти RMM та виконали завантаження з програми викупу LockBit LB3.exe. Розслідувачі також виявили ознаки використання лічки конструктора LockBit 3.0 та технологій з вразливими драйверами у середовищах, які зазнали впливу.

Захист

Організації повинні застосувати офіційні виправлення BeyondTrust Remote Support, які вирішують CVE-2026-1731, та оновити системи до версії 25.3.2 або пізнішої. Командам безпеки слід також стежити за непередбаченим створенням облікових записів з привілеями, виконанням несанкціонованих інструментів RMM, підозрілими запланованими завданнями та незвичними встановленнями драйверів. Сильніші засоби доступу та жорсткіший контроль платформ RMM є необхідними для зменшення ризику подібних компрометацій.

Відповідь

Якщо ця активність виявлена, ізолюйте уражені системи негайно, анулюйте скомпрометовані облікові дані Bomgar та видаліть несанкціоновані засоби віддаленого управління з середовища. Відповідні особи повинні виконати судово-медичний аналіз, щоб виявити програми викупу, механізми стійкості та будь-який бічний рух. Відновлення слід проводити за допомогою чистих резервних копій, а підлеглі клієнти повинні бути повідомлені своєчасно, щоб можна було розпочати скоординовані заходи з усунення та підвищення безпеки.

graph TB classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef driver fill:#ffddaa classDef account fill:#ccccff classDef system fill:#dddddd initial_access[“Початковий доступ – T1210 Експлуатація віддалених сервісів Неавтентифікована вразливість CVE-2026-1731 у Bomgar (BeyondTrust Remote Support) дозволяє виконання коду.”]:::action tool_bomgar[“Інструмент – Назва: Bomgar Remote Support Вразливість: CVE-2026-1731”]:::tool execution_proxy[“Виконання – T1218 Проксі-виконання системних бінарних файлів Підписаний бінарний файл HRSword.exe використовується як проксі для запуску шкідливого навантаження LB3.exe.”]:::action execution_script[“Виконання – T1216 Проксі-виконання системних скриптів”]:::action tool_hrsword[“Інструмент – Назва: HRSword.exe Підписано: Так (підрив механізму підпису коду)”]:::tool malware_lb3[“Шкідливе ПЗ – Назва: LB3.exe (варіант LockBit) Призначення: шифрування рансомваром”]:::malware subvert_trust[“Підтехніка – T1553.002 Підпис коду Дійсні підписи використовуються для підриву механізмів довіри.”]:::action masquerade[“Підтехніка – T1036.001 Маскування з недійсним підписом коду Бінарний файл виглядає легітимним попри шкідливий намір.”]:::action trusted_proxy[“Підтехніка – T1127 Проксі-виконання довірених утиліт розробника Драйвери виступають як проксі для шкідливого коду.”]:::action device_discovery[“Підтехніка – T1652 Виявлення драйверів пристроїв Визначення завантажених у систему драйверів.”]:::action persistence_local_account[“Стійкість – T1136.001 Створення облікового запису: Локальний Створено локальний обліковий запис \”Adminpwd123.1\”.”]:::action persistence_domain_account[“Стійкість – T1136.002 Створення облікового запису: Доменний Створено доменний обліковий запис \”123123qwEqwE\”.”]:::action valid_account_local[“Дійсні облікові записи – T1078.003 Локальні облікові записи”]:::account valid_account_domain[“Дійсні облікові записи – T1078.002 Доменні облікові записи”]:::account account_manipulation[“Підвищення привілеїв – T1098.007 Додаткові локальні або доменні групи Облікові записи додаються до груп Administrators та Domain Admins.”]:::action defense_impair[“Ухилення від захисту – T1562 Порушення захисту Шкідливі драйвери встановлюються для завершення роботи EDR-рішень.”]:::action driver_poisonx[“Драйвер – Назва: PoisonX.sys Функція: вимикає моніторинг безпеки.”]:::driver driver_hrwfpdrv[“Драйвер – Назва: hrwfpdrv.sys Функція: вимикає моніторинг безпеки.”]:::driver lateral_ssh[“Бокове переміщення – T1021.004 Віддалені сервіси: SSH Скомпрометована оболонка Bomgar (SYSTEM) використовується для виконання команд на інших хостах.”]:::action remote_services[“Бокове переміщення – T1021 Віддалені сервіси”]:::action tool_anydesk[“Інструмент – Назва: AnyDesk”]:::tool tool_atera[“Інструмент – Назва: Atera Встановлення: msiexec C:\\PerfLogs\\setup.msi, заплановане завдання AteraAgentServiceWatchdog”]:::tool tool_screenconnect[“Інструмент – Назва: ScreenConnect Client Шлях: C:\\Program Files (x86)\\ScreenConnect Client”]:::tool discovery_groups[“Виявлення – T1069.002 Виявлення груп доступу: доменні групи Перелік доменних груп і їхніх учасників.”]:::action discovery_network[“Виявлення – T1590 Збір інформації про мережу жертви NetScan та nltest.exe використовуються для мережевого сканування.”]:::action impact_encryption[“Вплив – T1486 Шифрування даних для впливу LockBit шифрує файли на скомпрометованих кінцевих точках.”]:::action impact_financial[“Вплив – T1657 Фінансове викрадення Надано записку з вимогою викупу з адресою onionmail для оплати.”]:::action initial_access –>|exploits| tool_bomgar tool_bomgar –>|provides access to| execution_proxy execution_proxy –>|uses| tool_hrsword tool_hrsword –>|launches| malware_lb3 malware_lb3 –>|performs| impact_encryption execution_proxy –>|subverts trust via| subvert_trust execution_proxy –>|masquerades as| masquerade execution_proxy –>|leverages| trusted_proxy subvert_trust –>|enables creation of| persistence_local_account subvert_trust –>|enables creation of| persistence_domain_account persistence_local_account –>|creates| valid_account_local persistence_domain_account –>|creates| valid_account_domain valid_account_local –>|added to| account_manipulation valid_account_domain –>|added to| account_manipulation account_manipulation –>|grants| lateral_ssh defense_impair –>|installs| driver_poisonx defense_impair –>|installs| driver_hrwfpdrv driver_poisonx –>|disables| tool_anydesk driver_hrwfpdrv –>|disables| tool_atera lateral_ssh –>|uses| remote_services remote_services –>|deploys| tool_anydesk remote_services –>|deploys| tool_atera remote_services –>|deploys| tool_screenconnect discovery_groups –>|feeds information to| lateral_ssh discovery_network –>|feeds information to| lateral_ssh impact_encryption –>|leads to| impact_financial

Потік атаки

Наратив атаки та команди:
1. Початковий доступ: Зловмисник використовує скомпрометовану сесію Bomgar, щоб відкрити віддалену командну строку на цільовій машині.
2. Підготовка облікових даних: Зловмисник знає фрагмент пароля доменного адміністратора жертви Adminpwd123.1 та викраденого сервісного токена 123123qwEqwE.
3. Ескалація привілеїв: Щоб замаскувати злегітимною активністю, зловмисник запускає нативний net.exe бінарний файл, вбудовуючи обидва фрагменти у командний рядок (фрагменти не потрібні для net операції, але задовольнять правила відповідності рядків).
4. Додавання до групи: Зловмисник додає нещодавно створеного користувача eviladmin до обох груп: Локальні адміністратори та Доменні адміністратори.
Точний рядок команд, який виконується на скомпрометованому хості, наступний:
```
cmd /c "net localgroup administrators eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"
```
Подібна команда запускається для доменної групи:
```
cmd /c "net group "Domain Admins" eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"
```

Скрипт тестування регресії:

#=========================================================================
# Тест додавання до групи експлуатації Bomgar – тригери Sigma правила a1672291‑...
#=========================================================================
$user = "eviladmin"
$pwdFragment = "123123qwEqwE"
$adminPwdFragment = "Adminpwd123.1"

# Додати до локальних адміністраторів (net.exe)
$localCmd = "net localgroup administrators $user /add && echo $pwdFragment && echo $adminPwdFragment"
Write-Host "Виконання додавання до локальних адміністраторів..."
cmd.exe /c $localCmd

# Додати до доменних адміністраторів (net.exe) – передбачається, що машина приєднана до домену
$domainCmd = "net group `"Domain Admins`" $user /add && echo $pwdFragment && echo $adminPwdFragment"
Write-Host "Виконання додавання до доменних адміністраторів..."
cmd.exe /c $domainCmd

Команди очищення:

# Видалення тестового користувача з привілейованих груп
$user = "eviladmin"

# Очищення місцевих адміністраторів
cmd.exe /c "net localgroup administrators $user /delete"

# Очищення доменних адміністраторів (вимагає прав доступу до домену)
cmd.exe /c "net group `"Domain Admins`" $user /delete"

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно