SOC Prime Bias: Kritisch

22 Apr 2026 05:32 UTC

Bedrohungswarnung: Angreifer intensivieren Missbrauch von Bomgar RMM

Author Photo
SOC Prime Team linkedin icon Folgen
Bedrohungswarnung: Angreifer intensivieren Missbrauch von Bomgar RMM
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Huntress meldete einen Anstieg von Angriffen, die kompromittierte Bomgar-Remote-Überwachungs- und Management-Instanzen nach öffentlicher Bekanntgabe von CVE-2026-1731 ausnutzen. Bedrohungsakteure nutzten die Schwachstelle, um Code aus der Ferne auszuführen, Konten mit hohen Privilegien zu erstellen und zusätzliche Remote-Zugriffssoftware und Ransomware zu installieren. In mehreren Fällen führte die Aktivität zur Bereitstellung von LockBit-Ransomware sowie von Tools wie AnyDesk und Atera. Die Kampagne betraf sowohl direkte Bomgar-Kunden als auch die von ihnen unterstützten nachgelagerten Organisationen.

Untersuchung

Das Huntress SOC verfolgte zwischen Februar und April 2026 mehrere Vorfälle und identifizierte bösartige Aktivitäten im Zusammenhang mit bomgar-scc.exe, wobei Angreifer entführte RMM-Sitzungen nutzten, um Tools wie NetScan, HRSword und benutzerdefinierte Treiber zu starten. Die Eindringlinge erstellten neue lokale und Domänen-Administratorkonten, installierten sekundäre RMM-Agenten und führten die LockBit-Ransomware-Payload LB3.exe. Ermittler fanden auch Anzeichen für eine Nutzung des geleakten LockBit-3.0-Builders und für Techniken, bei denen eigene anfällige Treiber mitgebracht wurden, in betroffenen Umgebungen.

Minderung

Organisationen sollten die offiziellen Patches von BeyondTrust Remote Support anwenden, die CVE-2026-1731 adressieren, und die betroffenen Systeme auf Version 25.3.2 oder höher aktualisieren. Sicherheitsteams sollten auch die unerwartete Erstellung privilegierter Konten, die Ausführung unerlaubter RMM-Tools, verdächtige geplante Aufgaben und ungewöhnliche Treiberinstallationen überwachen. Starke Zugriffskontrollen und eine strengere Überwachung von RMM-Plattformen sind wesentliche Maßnahmen, um das Risiko ähnlicher Kompromittierungen zu verringern.

Reaktion

Falls diese Aktivität festgestellt wird, sollten die betroffenen Systeme sofort isoliert, jegliche kompromittierte Bomgar-Anmeldeinformationen widerrufen und unerlaubte Remote-Management-Tools aus der Umgebung entfernt werden. Vorfalluntersucher sollten dann eine forensische Analyse durchführen, um Ransomware-Payloads, Persistenzmechanismen und jegliche lateralen Bewegungen zu identifizieren. Wiederherstellungsmaßnahmen sollten sich auf saubere Backups stützen, während nachgelagerte Kunden umgehend benachrichtigt werden sollten, damit eine koordinierte Behebung und Stärkung beginnen kann.

Angriffsablauf

Simulation der Ausführung

Voraussetzung: Der Telemetrie- und Baseline-Pre-Flight-Check muss erfolgreich abgeschlossen sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführungstechnik des Gegners (TTP), die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und das Narrativ MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die exakte Telemetrie zu generieren, die von der Erkennungslogik erwartet wird.

  • Angriffserzählung & Befehle:

    1. Erster Zugriff: Der Angreifer nutzt eine kompromittierte Bomgar-Sitzung, um ein remote-Befehlsfenster auf dem Zielrechner zu öffnen.
    2. Anmeldeinformationen vorbereiten: Der Angreifer kennt ein Fragment des Domänen-Admin-Passworts des Opfers Adminpwd123.1 und ein gestohlenes Dienst-Token 123123qwEqwE.
    3. Privilegienerweiterung: Um mit legitimen Aktivitäten zu verschmelzen, verwendet der Angreifer das native net.exe Binary, das zwei Fragmente in die Befehlszeile einbettet (die Fragmente sind für die net Operation nicht erforderlich, werden aber die String-Abgleich-Regel erfüllen).
    4. Gruppen-Zugabe: Der Angreifer fügt einen neu erstellten Benutzer eviladmin sowohl der lokalen Administratorengruppe als auch der Domänen-Admins-Gruppe hinzu.

    Die genaue Befehlszeile, die auf dem kompromittierten Host ausgeführt wird, lautet:

    cmd /c "net localgroup administrators eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"

    Ein ähnlicher Befehl wird für die Domänengruppe ausgeführt:

    cmd /c "net group "Domain Admins" eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"
  • Regressionstest-Skript:

    #=========================================================================
    # Bomgar‑Exploitation Gruppen-Hinzufügungstest – löst Sigma-Regel a1672291‑...
    #=========================================================================
    $user = "eviladmin"
    $pwdFragment = "123123qwEqwE"
    $adminPwdFragment = "Adminpwd123.1"
    
    # Hinzufügen zur lokalen Administratorengruppe (net.exe)
    $localCmd = "net localgroup administrators $user /add && echo $pwdFragment && echo $adminPwdFragment"
    Write-Host "Lokale Admin-Hinzufügung wird ausgeführt..."
    cmd.exe /c $localCmd
    
    # Hinzufügen zur Domänen-Admins (net.exe) – setzt voraus, dass Maschine der Domäne beigetreten ist
    $domainCmd = "net group `"Domain Admins`" $user /add && echo $pwdFragment && echo $adminPwdFragment"
    Write-Host "Domänen-Admin-Hinzufügung wird ausgeführt..."
    cmd.exe /c $domainCmd
  • Bereinigung Befehle:

    # Entferne den Testbenutzer aus privilegierten Gruppen
    $user = "eviladmin"
    
    # Lokale Administratoren-Bereinigung
    cmd.exe /c "net localgroup administrators $user /delete"
    
    # Bereinigung der Domänen-Admins (erfordert Domänenrechte)
    cmd.exe /c "net group `"Domain Admins`" $user /delete"