SOC Prime Bias: Crítico

22 Apr 2026 05:32 UTC

Aviso de Amenaza: Los Atacantes Intensifican la Explotación de Bomgar RMM

Author Photo
SOC Prime Team linkedin icon Seguir
Aviso de Amenaza: Los Atacantes Intensifican la Explotación de Bomgar RMM
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Huntress reportó un aumento en los ataques que abusan de instancias comprometidas de monitoreo y gestión remota de Bomgar tras la divulgación pública de CVE-2026-1731. Los actores de amenazas utilizaron la vulnerabilidad para ejecutar código de forma remota, crear cuentas con altos privilegios y desplegar software de acceso remoto adicional y ransomware. En varios casos, la actividad condujo al despliegue del ransomware LockBit, junto con herramientas como AnyDesk y Atera. La campaña afectó tanto a clientes directos de Bomgar como a las organizaciones a las que soportan.

Investigación

El SOC de Huntress rastreó múltiples incidentes entre febrero y abril de 2026 e identificó actividad maliciosa vinculada a bomgar-scc.exe, con atacantes utilizando sesiones RMM secuestradas para lanzar herramientas incluyendo NetScan, HRSword y controladores personalizados. Los intrusos crearon nuevas cuentas de administrador local y de dominio, instalaron agentes RMM adicionales y ejecutaron la carga de ransomware LockBit LB3.exe. Los investigadores también encontraron signos de uso del constructor filtrado de LockBit 3.0 y técnicas de traer-su-propio-controlador-vulnerable en los entornos afectados.

Mitigación

Las organizaciones deben aplicar los parches oficiales de BeyondTrust Remote Support que abordan el CVE-2026-1731 y actualizar los sistemas afectados a la versión 25.3.2 o posterior. Los equipos de seguridad también deben monitorear la creación inesperada de cuentas privilegiadas, la ejecución de herramientas RMM no autorizadas, tareas programadas sospechosas e instalaciones inusuales de controladores. Controles de acceso fuertes y una supervisión más estricta de las plataformas RMM son esenciales para reducir el riesgo de compromisos similares.

Respuesta

Si se detecta esta actividad, aíslen los sistemas impactados de inmediato, revoquen cualquier credencial de Bomgar comprometida y eliminen herramientas de gestión remota no autorizadas del entorno. Los respondedores de incidentes deben realizar un análisis forense para identificar las cargas de ransomware, mecanismos de persistencia y cualquier movimiento lateral. Los esfuerzos de recuperación deben basarse en copias de seguridad limpias, mientras que los clientes aguas abajo deben ser notificados de inmediato para que pueda comenzar la remediación y fortalecimiento coordinados.

Flujo de Ataque

Ejecución de Simulación

Requisito previo: El chequeo previo de Telemetría y Línea de Base debe haber pasado.

Razón: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa del Ataque y Comandos:

    1. Punto de acceso inicial: El atacante utiliza una sesión de Bomgar comprometida para abrir un indicador de comandos remoto en la máquina objetivo.
    2. Preparación de credenciales: El atacante conoce el fragmento de contraseña de administrador de dominio de la víctima Adminpwd123.1 y un token de servicio robado 123123qwEqwE.
    3. Escalada de privilegios: Para mezclarse con actividad legítima, el atacante invoca el binario nativo net.exe binario, incrustando los dos fragmentos en la línea de comandos (los fragmentos no son necesarios para la net operación, pero satisfacen la coincidencia de cadenas de la regla).
    4. Adición a grupos: El atacante agrega un usuario recién creado eviladmin tanto al grupo de Administradores locales como al grupo de Administradores de Dominio.

    La línea de comandos exacta ejecutada en el host comprometido es:

    cmd /c "net localgroup administrators eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"

    Un comando similar se ejecuta para el grupo de dominio:

    cmd /c "net group "Domain Admins" eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"
  • Script de Prueba de Regresión:

    #=========================================================================
    # Prueba de adición de grupos de explotación de Bomgar – activa la regla Sigma a1672291‑...
    #=========================================================================
    $user = "eviladmin"
    $pwdFragment = "123123qwEqwE"
    $adminPwdFragment = "Adminpwd123.1"
    
    # Agregar a Administradores Locales (net.exe)
    $localCmd = "net localgroup administrators $user /add && echo $pwdFragment && echo $adminPwdFragment"
    Write-Host "Ejecutando adición de admin local..."
    cmd.exe /c $localCmd
    
    # Agregar a Administradores de Dominio (net.exe) – asume que la máquina está unida a un dominio
    $domainCmd = "net group `"Domain Admins`" $user /add && echo $pwdFragment && echo $adminPwdFragment"
    Write-Host "Ejecutando adición de admin de dominio..."
    cmd.exe /c $domainCmd
  • Comandos de Limpieza:

    # Quitar el usuario de prueba de grupos privilegiados
    $user = "eviladmin"
    
    # Limpieza de Administradores Locales
    cmd.exe /c "net localgroup administrators $user /delete"
    
    # Limpieza de Administradores de Dominio (requiere derechos de dominio)
    cmd.exe /c "net group `"Domain Admins`" $user /delete"