Aviso de Amenaza: Los Atacantes Intensifican la Explotación de Bomgar RMM

SOC Prime Team

Seguir

Aviso de Amenaza: Los Atacantes Intensifican la Explotación de Bomgar RMM

Detection stack

AIDR
Alert
ETL
Query

Informe de Amenazas
Flujo de Ataque
Detecciones
Simulaciones

Resumen

Huntress reportó un aumento en los ataques que abusan de instancias comprometidas de monitoreo y gestión remota de Bomgar tras la divulgación pública de CVE-2026-1731. Los actores de amenazas utilizaron la vulnerabilidad para ejecutar código de forma remota, crear cuentas con altos privilegios y desplegar software de acceso remoto adicional y ransomware. En varios casos, la actividad condujo al despliegue del ransomware LockBit, junto con herramientas como AnyDesk y Atera. La campaña afectó tanto a clientes directos de Bomgar como a las organizaciones a las que soportan.

Investigación

El SOC de Huntress rastreó múltiples incidentes entre febrero y abril de 2026 e identificó actividad maliciosa vinculada a bomgar-scc.exe, con atacantes utilizando sesiones RMM secuestradas para lanzar herramientas incluyendo NetScan, HRSword y controladores personalizados. Los intrusos crearon nuevas cuentas de administrador local y de dominio, instalaron agentes RMM adicionales y ejecutaron la carga de ransomware LockBit LB3.exe. Los investigadores también encontraron signos de uso del constructor filtrado de LockBit 3.0 y técnicas de traer-su-propio-controlador-vulnerable en los entornos afectados.

Mitigación

Las organizaciones deben aplicar los parches oficiales de BeyondTrust Remote Support que abordan el CVE-2026-1731 y actualizar los sistemas afectados a la versión 25.3.2 o posterior. Los equipos de seguridad también deben monitorear la creación inesperada de cuentas privilegiadas, la ejecución de herramientas RMM no autorizadas, tareas programadas sospechosas e instalaciones inusuales de controladores. Controles de acceso fuertes y una supervisión más estricta de las plataformas RMM son esenciales para reducir el riesgo de compromisos similares.

Respuesta

Si se detecta esta actividad, aíslen los sistemas impactados de inmediato, revoquen cualquier credencial de Bomgar comprometida y eliminen herramientas de gestión remota no autorizadas del entorno. Los respondedores de incidentes deben realizar un análisis forense para identificar las cargas de ransomware, mecanismos de persistencia y cualquier movimiento lateral. Los esfuerzos de recuperación deben basarse en copias de seguridad limpias, mientras que los clientes aguas abajo deben ser notificados de inmediato para que pueda comenzar la remediación y fortalecimiento coordinados.

graph TB classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef driver fill:#ffddaa classDef account fill:#ccccff classDef system fill:#dddddd initial_access[«Acceso Inicial – T1210 Explotación de Servicios Remotos Vulnerabilidad no autenticada CVE-2026-1731 en Bomgar (BeyondTrust Remote Support) permite la ejecución de código.»]:::action tool_bomgar[«Herramienta – Nombre: Bomgar Remote Support Vulnerabilidad: CVE-2026-1731»]:::tool execution_proxy[«Ejecución – T1218 Ejecución Proxy de Binarios del Sistema Binario firmado HRSword.exe usado como proxy para lanzar la carga maliciosa LB3.exe.»]:::action execution_script[«Ejecución – T1216 Ejecución Proxy de Scripts del Sistema»]:::action tool_hrsword[«Herramienta – Nombre: HRSword.exe Firmado: Sí (subversión de firma de código)»]:::tool malware_lb3[«Malware – Nombre: LB3.exe (variante de LockBit) Propósito: Cifrado de ransomware»]:::malware subvert_trust[«Subtécnica – T1553.002 Firma de Código Firmas válidas utilizadas para subvertir controles de confianza.»]:::action masquerade[«Subtécnica – T1036.001 Suplantación con Firma de Código Inválida El binario parece legítimo a pesar de su intención maliciosa.»]:::action trusted_proxy[«Subtécnica – T1127 Ejecución Proxy de Utilidades de Desarrollo Confiables Los controladores actúan como proxy para código malicioso.»]:::action device_discovery[«Subtécnica – T1652 Descubrimiento de Controladores de Dispositivo Identificar controladores cargados en el sistema.»]:::action persistence_local_account[«Persistencia – T1136.001 Crear Cuenta: Local Cuenta local \»Adminpwd123.1\» creada.»]:::action persistence_domain_account[«Persistencia – T1136.002 Crear Cuenta: Dominio Cuenta de dominio \»123123qwEqwE\» creada.»]:::action valid_account_local[«Cuentas Válidas – T1078.003 Cuentas Locales»]:::account valid_account_domain[«Cuentas Válidas – T1078.002 Cuentas de Dominio»]:::account account_manipulation[«Escalada de Privilegios – T1098.007 Grupos Locales o de Dominio Adicionales Cuentas añadidas a los grupos Administradores y Domain Admins.»]:::action defense_impair[«Evasión de Defensa – T1562 Deshabilitar Defensas Controladores maliciosos instalados para terminar soluciones EDR.»]:::action driver_poisonx[«Controlador – Nombre: PoisonX.sys Función: Desactiva la monitorización de seguridad.»]:::driver driver_hrwfpdrv[«Controlador – Nombre: hrwfpdrv.sys Función: Desactiva la monitorización de seguridad.»]:::driver lateral_ssh[«Movimiento Lateral – T1021.004 Servicios Remotos: SSH Shell comprometida de Bomgar (SYSTEM) usada para ejecutar comandos en hosts adicionales.»]:::action remote_services[«Movimiento Lateral – T1021 Servicios Remotos»]:::action tool_anydesk[«Herramienta – Nombre: AnyDesk»]:::tool tool_atera[«Herramienta – Nombre: Atera Instalación: msiexec C:\\PerfLogs\\setup.msi, tarea programada AteraAgentServiceWatchdog»]:::tool tool_screenconnect[«Herramienta – Nombre: ScreenConnect Client Ruta: C:\\Program Files (x86)\\ScreenConnect Client»]:::tool discovery_groups[«Descubrimiento – T1069.002 Descubrimiento de Grupos de Permisos: Grupos de Dominio Enumerar grupos de dominio y membresías.»]:::action discovery_network[«Descubrimiento – T1590 Recopilar Información de la Red de la Víctima NetScan y nltest.exe usados para enumeración de red.»]:::action impact_encryption[«Impacto – T1486 Datos Cifrados para Impacto LockBit cifra archivos en endpoints comprometidos.»]:::action impact_financial[«Impacto – T1657 Robo Financiero Nota de rescate con dirección onionmail proporcionada para el pago.»]:::action initial_access –>|exploits| tool_bomgar tool_bomgar –>|provides access to| execution_proxy execution_proxy –>|uses| tool_hrsword tool_hrsword –>|launches| malware_lb3 malware_lb3 –>|performs| impact_encryption execution_proxy –>|subverts trust via| subvert_trust execution_proxy –>|masquerades as| masquerade execution_proxy –>|leverages| trusted_proxy subvert_trust –>|enables creation of| persistence_local_account subvert_trust –>|enables creation of| persistence_domain_account persistence_local_account –>|creates| valid_account_local persistence_domain_account –>|creates| valid_account_domain valid_account_local –>|added to| account_manipulation valid_account_domain –>|added to| account_manipulation account_manipulation –>|grants| lateral_ssh defense_impair –>|installs| driver_poisonx defense_impair –>|installs| driver_hrwfpdrv driver_poisonx –>|disables| tool_anydesk driver_hrwfpdrv –>|disables| tool_atera lateral_ssh –>|uses| remote_services remote_services –>|deploys| tool_anydesk remote_services –>|deploys| tool_atera remote_services –>|deploys| tool_screenconnect discovery_groups –>|feeds information to| lateral_ssh discovery_network –>|feeds information to| lateral_ssh impact_encryption –>|leads to| impact_financial

Flujo de Ataque

Narrativa del Ataque y Comandos:
1. Punto de acceso inicial: El atacante utiliza una sesión de Bomgar comprometida para abrir un indicador de comandos remoto en la máquina objetivo.
2. Preparación de credenciales: El atacante conoce el fragmento de contraseña de administrador de dominio de la víctima Adminpwd123.1 y un token de servicio robado 123123qwEqwE.
3. Escalada de privilegios: Para mezclarse con actividad legítima, el atacante invoca el binario nativo net.exe binario, incrustando los dos fragmentos en la línea de comandos (los fragmentos no son necesarios para la net operación, pero satisfacen la coincidencia de cadenas de la regla).
4. Adición a grupos: El atacante agrega un usuario recién creado eviladmin tanto al grupo de Administradores locales como al grupo de Administradores de Dominio.
La línea de comandos exacta ejecutada en el host comprometido es:
```
cmd /c "net localgroup administrators eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"
```
Un comando similar se ejecuta para el grupo de dominio:
```
cmd /c "net group "Domain Admins" eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"
```

Script de Prueba de Regresión:

#=========================================================================
# Prueba de adición de grupos de explotación de Bomgar – activa la regla Sigma a1672291‑...
#=========================================================================
$user = "eviladmin"
$pwdFragment = "123123qwEqwE"
$adminPwdFragment = "Adminpwd123.1"

# Agregar a Administradores Locales (net.exe)
$localCmd = "net localgroup administrators $user /add && echo $pwdFragment && echo $adminPwdFragment"
Write-Host "Ejecutando adición de admin local..."
cmd.exe /c $localCmd

# Agregar a Administradores de Dominio (net.exe) – asume que la máquina está unida a un dominio
$domainCmd = "net group `"Domain Admins`" $user /add && echo $pwdFragment && echo $adminPwdFragment"
Write-Host "Ejecutando adición de admin de dominio..."
cmd.exe /c $domainCmd

Comandos de Limpieza:

# Quitar el usuario de prueba de grupos privilegiados
$user = "eviladmin"

# Limpieza de Administradores Locales
cmd.exe /c "net localgroup administrators $user /delete"

# Limpieza de Administradores de Dominio (requiere derechos de dominio)
cmd.exe /c "net group `"Domain Admins`" $user /delete"

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis