Aviso de Amenaza: Los Atacantes Intensifican la Explotación de Bomgar RMM
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Huntress reportó un aumento en los ataques que abusan de instancias comprometidas de monitoreo y gestión remota de Bomgar tras la divulgación pública de CVE-2026-1731. Los actores de amenazas utilizaron la vulnerabilidad para ejecutar código de forma remota, crear cuentas con altos privilegios y desplegar software de acceso remoto adicional y ransomware. En varios casos, la actividad condujo al despliegue del ransomware LockBit, junto con herramientas como AnyDesk y Atera. La campaña afectó tanto a clientes directos de Bomgar como a las organizaciones a las que soportan.
Investigación
El SOC de Huntress rastreó múltiples incidentes entre febrero y abril de 2026 e identificó actividad maliciosa vinculada a bomgar-scc.exe, con atacantes utilizando sesiones RMM secuestradas para lanzar herramientas incluyendo NetScan, HRSword y controladores personalizados. Los intrusos crearon nuevas cuentas de administrador local y de dominio, instalaron agentes RMM adicionales y ejecutaron la carga de ransomware LockBit LB3.exe. Los investigadores también encontraron signos de uso del constructor filtrado de LockBit 3.0 y técnicas de traer-su-propio-controlador-vulnerable en los entornos afectados.
Mitigación
Las organizaciones deben aplicar los parches oficiales de BeyondTrust Remote Support que abordan el CVE-2026-1731 y actualizar los sistemas afectados a la versión 25.3.2 o posterior. Los equipos de seguridad también deben monitorear la creación inesperada de cuentas privilegiadas, la ejecución de herramientas RMM no autorizadas, tareas programadas sospechosas e instalaciones inusuales de controladores. Controles de acceso fuertes y una supervisión más estricta de las plataformas RMM son esenciales para reducir el riesgo de compromisos similares.
Respuesta
Si se detecta esta actividad, aíslen los sistemas impactados de inmediato, revoquen cualquier credencial de Bomgar comprometida y eliminen herramientas de gestión remota no autorizadas del entorno. Los respondedores de incidentes deben realizar un análisis forense para identificar las cargas de ransomware, mecanismos de persistencia y cualquier movimiento lateral. Los esfuerzos de recuperación deben basarse en copias de seguridad limpias, mientras que los clientes aguas abajo deben ser notificados de inmediato para que pueda comenzar la remediación y fortalecimiento coordinados.
Flujo de Ataque
Detecciones
Agregar Usuario a Administradores Locales (vía cmdline)
Ver
Ejecución Sospechosa desde el Directorio PerfLogs (vía creación de procesos)
Ver
Software de Acceso/Administración Remota Alternativo (vía creación de procesos)
Ver
Software de Acceso/Administración Remota Alternativo (vía sistema)
Ver
Software de Acceso/Administración Remota Alternativo (vía auditoría)
Ver
IOCs (HashSha256) para detectar: Asesoramiento de Amenaza: Aumento en la Explotación de Bomgar RMM
Ver
IOCs (SourceIP) para detectar: Asesoramiento de Amenaza: Aumento en la Explotación de Bomgar RMM
Ver
IOCs (DestinationIP) para detectar: Asesoramiento de Amenaza: Aumento en la Explotación de Bomgar RMM
Ver
Detectar Agregado de Usuario a Grupos de Admin vía Explotación de Bomgar [Registro de Eventos de Seguridad de Microsoft Windows]
Ver
Detección de Procesos Maliciosos en Instancias Comprometidas de Bomgar RMM [Creación de Procesos en Windows]
Ver
Ejecución de Simulación
Requisito previo: El chequeo previo de Telemetría y Línea de Base debe haber pasado.
Razón: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del Ataque y Comandos:
- Punto de acceso inicial: El atacante utiliza una sesión de Bomgar comprometida para abrir un indicador de comandos remoto en la máquina objetivo.
- Preparación de credenciales: El atacante conoce el fragmento de contraseña de administrador de dominio de la víctima
Adminpwd123.1y un token de servicio robado123123qwEqwE. - Escalada de privilegios: Para mezclarse con actividad legítima, el atacante invoca el binario nativo
net.exebinario, incrustando los dos fragmentos en la línea de comandos (los fragmentos no son necesarios para lanetoperación, pero satisfacen la coincidencia de cadenas de la regla). - Adición a grupos: El atacante agrega un usuario recién creado
eviladmintanto al grupo de Administradores locales como al grupo de Administradores de Dominio.
La línea de comandos exacta ejecutada en el host comprometido es:
cmd /c "net localgroup administrators eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"Un comando similar se ejecuta para el grupo de dominio:
cmd /c "net group "Domain Admins" eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1" -
Script de Prueba de Regresión:
#========================================================================= # Prueba de adición de grupos de explotación de Bomgar – activa la regla Sigma a1672291‑... #========================================================================= $user = "eviladmin" $pwdFragment = "123123qwEqwE" $adminPwdFragment = "Adminpwd123.1" # Agregar a Administradores Locales (net.exe) $localCmd = "net localgroup administrators $user /add && echo $pwdFragment && echo $adminPwdFragment" Write-Host "Ejecutando adición de admin local..." cmd.exe /c $localCmd # Agregar a Administradores de Dominio (net.exe) – asume que la máquina está unida a un dominio $domainCmd = "net group `"Domain Admins`" $user /add && echo $pwdFragment && echo $adminPwdFragment" Write-Host "Ejecutando adición de admin de dominio..." cmd.exe /c $domainCmd -
Comandos de Limpieza:
# Quitar el usuario de prueba de grupos privilegiados $user = "eviladmin" # Limpieza de Administradores Locales cmd.exe /c "net localgroup administrators $user /delete" # Limpieza de Administradores de Dominio (requiere derechos de dominio) cmd.exe /c "net group `"Domain Admins`" $user /delete"