Bedrohungswarnung: Angreifer intensivieren Missbrauch von Bomgar RMM

SOC Prime Team

Folgen

Bedrohungswarnung: Angreifer intensivieren Missbrauch von Bomgar RMM

Detection stack

AIDR
Alert
ETL
Query

Bedrohungsbericht
Angriffsablauf
Erkennungen
Simulationen

Zusammenfassung

Huntress meldete einen Anstieg von Angriffen, die kompromittierte Bomgar-Remote-Überwachungs- und Management-Instanzen nach öffentlicher Bekanntgabe von CVE-2026-1731 ausnutzen. Bedrohungsakteure nutzten die Schwachstelle, um Code aus der Ferne auszuführen, Konten mit hohen Privilegien zu erstellen und zusätzliche Remote-Zugriffssoftware und Ransomware zu installieren. In mehreren Fällen führte die Aktivität zur Bereitstellung von LockBit-Ransomware sowie von Tools wie AnyDesk und Atera. Die Kampagne betraf sowohl direkte Bomgar-Kunden als auch die von ihnen unterstützten nachgelagerten Organisationen.

Untersuchung

Das Huntress SOC verfolgte zwischen Februar und April 2026 mehrere Vorfälle und identifizierte bösartige Aktivitäten im Zusammenhang mit bomgar-scc.exe, wobei Angreifer entführte RMM-Sitzungen nutzten, um Tools wie NetScan, HRSword und benutzerdefinierte Treiber zu starten. Die Eindringlinge erstellten neue lokale und Domänen-Administratorkonten, installierten sekundäre RMM-Agenten und führten die LockBit-Ransomware-Payload LB3.exe. Ermittler fanden auch Anzeichen für eine Nutzung des geleakten LockBit-3.0-Builders und für Techniken, bei denen eigene anfällige Treiber mitgebracht wurden, in betroffenen Umgebungen.

Minderung

Organisationen sollten die offiziellen Patches von BeyondTrust Remote Support anwenden, die CVE-2026-1731 adressieren, und die betroffenen Systeme auf Version 25.3.2 oder höher aktualisieren. Sicherheitsteams sollten auch die unerwartete Erstellung privilegierter Konten, die Ausführung unerlaubter RMM-Tools, verdächtige geplante Aufgaben und ungewöhnliche Treiberinstallationen überwachen. Starke Zugriffskontrollen und eine strengere Überwachung von RMM-Plattformen sind wesentliche Maßnahmen, um das Risiko ähnlicher Kompromittierungen zu verringern.

Reaktion

Falls diese Aktivität festgestellt wird, sollten die betroffenen Systeme sofort isoliert, jegliche kompromittierte Bomgar-Anmeldeinformationen widerrufen und unerlaubte Remote-Management-Tools aus der Umgebung entfernt werden. Vorfalluntersucher sollten dann eine forensische Analyse durchführen, um Ransomware-Payloads, Persistenzmechanismen und jegliche lateralen Bewegungen zu identifizieren. Wiederherstellungsmaßnahmen sollten sich auf saubere Backups stützen, während nachgelagerte Kunden umgehend benachrichtigt werden sollten, damit eine koordinierte Behebung und Stärkung beginnen kann.

graph TB classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef driver fill:#ffddaa classDef account fill:#ccccff classDef system fill:#dddddd initial_access[„Erstzugriff – T1210 Ausnutzung von Remote-Diensten Nicht authentifizierte Schwachstelle CVE-2026-1731 in Bomgar (BeyondTrust Remote Support) ermöglicht Codeausführung.“]:::action tool_bomgar[„Werkzeug – Name: Bomgar Remote Support Schwachstelle: CVE-2026-1731“]:::tool execution_proxy[„Ausführung – T1218 Proxy-Ausführung von System-Binärdateien Signierte Binärdatei HRSword.exe wird als Proxy verwendet, um die bösartige Nutzlast LB3.exe zu starten.“]:::action execution_script[„Ausführung – T1216 Proxy-Ausführung von Systemskripten“]:::action tool_hrsword[„Werkzeug – Name: HRSword.exe Signiert: Ja (Unterwanderung der Code-Signierung)“]:::tool malware_lb3[„Malware – Name: LB3.exe (LockBit-Variante) Zweck: Ransomware-Verschlüsselung“]:::malware subvert_trust[„Subtechnik – T1553.002 Code-Signierung Gültige Signaturen werden genutzt, um Vertrauenskontrollen zu unterlaufen.“]:::action masquerade[„Subtechnik – T1036.001 Tarnung mit ungültiger Code-Signatur Die Binärdatei erscheint legitim trotz bösartiger Absicht.“]:::action trusted_proxy[„Subtechnik – T1127 Proxy-Ausführung vertrauenswürdiger Entwickler-Utilities Treiber fungieren als Proxy für bösartigen Code.“]:::action device_discovery[„Subtechnik – T1652 Gerätetreiber-Erkennung Identifizierung geladener Treiber im System.“]:::action persistence_local_account[„Persistenz – T1136.001 Konto erstellen: Lokal Lokales Konto \“Adminpwd123.1\“ erstellt.“]:::action persistence_domain_account[„Persistenz – T1136.002 Konto erstellen: Domäne Domänenkonto \“123123qwEqwE\“ erstellt.“]:::action valid_account_local[„Gültige Konten – T1078.003 Lokale Konten“]:::account valid_account_domain[„Gültige Konten – T1078.002 Domänenkonten“]:::account account_manipulation[„Privilegieneskalation – T1098.007 Zusätzliche lokale oder Domänengruppen Konten werden den Gruppen Administrators und Domain Admins hinzugefügt.“]:::action defense_impair[„Verteidigungsumgehung – T1562 Abwehr beeinträchtigen Bösartige Treiber werden installiert, um EDR-Lösungen zu beenden.“]:::action driver_poisonx[„Treiber – Name: PoisonX.sys Funktion: Deaktiviert Sicherheitsüberwachung.“]:::driver driver_hrwfpdrv[„Treiber – Name: hrwfpdrv.sys Funktion: Deaktiviert Sicherheitsüberwachung.“]:::driver lateral_ssh[„Laterale Bewegung – T1021.004 Remote-Dienste: SSH Kompromittierte Bomgar-Shell (SYSTEM) wird verwendet, um Befehle auf weiteren Hosts auszuführen.“]:::action remote_services[„Laterale Bewegung – T1021 Remote-Dienste“]:::action tool_anydesk[„Werkzeug – Name: AnyDesk“]:::tool tool_atera[„Werkzeug – Name: Atera Installation: msiexec C:\\PerfLogs\\setup.msi, geplante Aufgabe AteraAgentServiceWatchdog“]:::tool tool_screenconnect[„Werkzeug – Name: ScreenConnect Client Pfad: C:\\Program Files (x86)\\ScreenConnect Client“]:::tool discovery_groups[„Erkennung – T1069.002 Erkennung von Berechtigungsgruppen: Domänengruppen Domänengruppen und Mitgliedschaften auflisten.“]:::action discovery_network[„Erkennung – T1590 Sammeln von Netzwerkinformationen des Opfers NetScan und nltest.exe werden zur Netzwerkerkennung verwendet.“]:::action impact_encryption[„Auswirkung – T1486 Datenverschlüsselung zur Auswirkung LockBit verschlüsselt Dateien auf kompromittierten Endpunkten.“]:::action impact_financial[„Auswirkung – T1657 Finanzieller Diebstahl Lösegeldforderung mit onionmail-Adresse für Zahlung bereitgestellt.“]:::action initial_access –>|exploits| tool_bomgar tool_bomgar –>|provides access to| execution_proxy execution_proxy –>|uses| tool_hrsword tool_hrsword –>|launches| malware_lb3 malware_lb3 –>|performs| impact_encryption execution_proxy –>|subverts trust via| subvert_trust execution_proxy –>|masquerades as| masquerade execution_proxy –>|leverages| trusted_proxy subvert_trust –>|enables creation of| persistence_local_account subvert_trust –>|enables creation of| persistence_domain_account persistence_local_account –>|creates| valid_account_local persistence_domain_account –>|creates| valid_account_domain valid_account_local –>|added to| account_manipulation valid_account_domain –>|added to| account_manipulation account_manipulation –>|grants| lateral_ssh defense_impair –>|installs| driver_poisonx defense_impair –>|installs| driver_hrwfpdrv driver_poisonx –>|disables| tool_anydesk driver_hrwfpdrv –>|disables| tool_atera lateral_ssh –>|uses| remote_services remote_services –>|deploys| tool_anydesk remote_services –>|deploys| tool_atera remote_services –>|deploys| tool_screenconnect discovery_groups –>|feeds information to| lateral_ssh discovery_network –>|feeds information to| lateral_ssh impact_encryption –>|leads to| impact_financial

Angriffsablauf

Angriffserzählung & Befehle:
1. Erster Zugriff: Der Angreifer nutzt eine kompromittierte Bomgar-Sitzung, um ein remote-Befehlsfenster auf dem Zielrechner zu öffnen.
2. Anmeldeinformationen vorbereiten: Der Angreifer kennt ein Fragment des Domänen-Admin-Passworts des Opfers Adminpwd123.1 und ein gestohlenes Dienst-Token 123123qwEqwE.
3. Privilegienerweiterung: Um mit legitimen Aktivitäten zu verschmelzen, verwendet der Angreifer das native net.exe Binary, das zwei Fragmente in die Befehlszeile einbettet (die Fragmente sind für die net Operation nicht erforderlich, werden aber die String-Abgleich-Regel erfüllen).
4. Gruppen-Zugabe: Der Angreifer fügt einen neu erstellten Benutzer eviladmin sowohl der lokalen Administratorengruppe als auch der Domänen-Admins-Gruppe hinzu.
Die genaue Befehlszeile, die auf dem kompromittierten Host ausgeführt wird, lautet:
```
cmd /c "net localgroup administrators eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"
```
Ein ähnlicher Befehl wird für die Domänengruppe ausgeführt:
```
cmd /c "net group "Domain Admins" eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"
```

Regressionstest-Skript:

#=========================================================================
# Bomgar‑Exploitation Gruppen-Hinzufügungstest – löst Sigma-Regel a1672291‑...
#=========================================================================
$user = "eviladmin"
$pwdFragment = "123123qwEqwE"
$adminPwdFragment = "Adminpwd123.1"

# Hinzufügen zur lokalen Administratorengruppe (net.exe)
$localCmd = "net localgroup administrators $user /add && echo $pwdFragment && echo $adminPwdFragment"
Write-Host "Lokale Admin-Hinzufügung wird ausgeführt..."
cmd.exe /c $localCmd

# Hinzufügen zur Domänen-Admins (net.exe) – setzt voraus, dass Maschine der Domäne beigetreten ist
$domainCmd = "net group `"Domain Admins`" $user /add && echo $pwdFragment && echo $adminPwdFragment"
Write-Host "Domänen-Admin-Hinzufügung wird ausgeführt..."
cmd.exe /c $domainCmd

Bereinigung Befehle:

# Entferne den Testbenutzer aus privilegierten Gruppen
$user = "eviladmin"

# Lokale Administratoren-Bereinigung
cmd.exe /c "net localgroup administrators $user /delete"

# Bereinigung der Domänen-Admins (erfordert Domänenrechte)
cmd.exe /c "net group `"Domain Admins`" $user /delete"

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten