SOC Prime Bias: Critique

22 Apr 2026 05:32 UTC

Alerte de Menace : Intensification de l’Exploitation de Bomgar RMM par les Attaquants

Author Photo
SOC Prime Team linkedin icon Suivre
Alerte de Menace : Intensification de l’Exploitation de Bomgar RMM par les Attaquants
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Huntress a signalé une augmentation des attaques exploitant des instances compromises de surveillance et de gestion à distance Bomgar suite à la divulgation publique du CVE-2026-1731. Les acteurs de la menace ont utilisé la faille pour exécuter du code à distance, créer des comptes à privilèges élevés, et déployer des logiciels d’accès à distance supplémentaires et des ransomwares. Dans plusieurs cas, l’activité a conduit au déploiement du ransomware LockBit, ainsi que d’outils tels qu’AnyDesk et Atera. La campagne a touché à la fois les clients directs de Bomgar et les organisations en aval qu’ils soutiennent.

Investigation

Le SOC de Huntress a suivi plusieurs incidents entre février et avril 2026 et a identifié une activité malveillante liée à bomgar-scc.exe, avec des attaquants utilisant des sessions RMM détournées pour lancer des outils tels que NetScan, HRSword, et des pilotes personnalisés. Les intrus ont créé de nouveaux comptes d’administrateur local et de domaine, installé des agents RMM secondaires, et exécuté la charge utile du ransomware LockBit LB3.exe. Les enquêteurs ont également trouvé des signes d’utilisation avérée du constructeur LockBit 3.0 et de techniques de type apportez votre propre pilote vulnérable dans les environnements affectés.

Atténuation

Les organisations doivent appliquer les correctifs officiels de BeyondTrust Remote Support qui corrigent le CVE-2026-1731 et mettre à jour les systèmes affectés vers la version 25.3.2 ou ultérieure. Les équipes de sécurité doivent également surveiller la création inattendue de comptes à privilèges, l’exécution d’outils RMM non autorisés, des tâches planifiées suspectes, et des installations inhabituelles de pilotes. Des contrôles d’accès stricts et une supervision accrue des plateformes RMM sont essentiels pour réduire le risque de compromissions similaires.

Réponse

Si cette activité est détectée, isolez immédiatement les systèmes impactés, révoquez les identifiants Bomgar compromis, et retirez les outils de gestion à distance non autorisés de l’environnement. Les intervenants en cas d’incident devraient ensuite effectuer une analyse forensic pour identifier les charges utiles de ransomware, les mécanismes de persistance, et tout mouvement latéral. Les efforts de récupération devraient s’appuyer sur des sauvegardes saines, tandis que les clients en aval devraient être avisés rapidement pour que la remédiation et le renforcement coordonnés puissent commencer.

Flux du Attaque

Exécution de Simulation

Prérequis : Le Contrôle de Pré-voyage de Télémétrie & Baseline doit avoir été validé.

Raison : Cette section décrit l’exécution précise de la technique d’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit doivent refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.

  • Narration d’Attaque & Commandes :

    1. Pied-à-terre initial : L’attaquant utilise une session Bomgar compromise pour ouvrir une invite de commande à distance sur la machine cible.
    2. Préparation des identifiants : L’attaquant connaît le fragment de mot de passe admin de domaine de la victime Adminpwd123.1 et un jeton de service volé 123123qwEqwE.
    3. Escalade de privilèges : Pour se fondre avec l’activité légitime, l’attaquant invoque le binaire natif net.exe , intégrant les deux fragments dans la ligne de commande (les fragments ne sont pas requis pour l net opération mais satisferont la correspondance de chaîne de la règle).
    4. Ajout de groupe : L’attaquant ajoute un nouvel utilisateur créé eviladmin à la fois au groupe Administrateurs locaux et au groupe Admins de Domaine.

    La ligne de commande exacte exécutée sur l’hôte compromis est :

    cmd /c "net localgroup administrators eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"

    Une commande similaire est exécutée pour le groupe de domaine :

    cmd /c "net group "Domain Admins" eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"
  • Script de Test de Régression :

    #=========================================================================
    # Test d'ajout de groupe exploitation‑Bomgar – déclenche la règle Sigma a1672291‑...
    #=========================================================================
    $user = "eviladmin"
    $pwdFragment = "123123qwEqwE"
    $adminPwdFragment = "Adminpwd123.1"
    
    # Ajouter aux Administrateurs Locaux (net.exe)
    $localCmd = "net localgroup administrators $user /add && echo $pwdFragment && echo $adminPwdFragment"
    Write-Host "Exécution de l'ajout admin local..."
    cmd.exe /c $localCmd
    
    # Ajouter aux Admins de Domaine (net.exe) – suppose que la machine est jointe au domaine
    $domainCmd = "net group `"Domain Admins`" $user /add && echo $pwdFragment && echo $adminPwdFragment"
    Write-Host "Exécution de l'ajout admin de domaine..."
    cmd.exe /c $domainCmd
  • Commandes de Nettoyage :

    # Supprimer l'utilisateur de test des groupes privilégiés
    $user = "eviladmin"
    
    # Nettoyage des Administrateurs Locaux
    cmd.exe /c "net localgroup administrators $user /delete"
    
    # Nettoyage des Admins de Domaine (nécessite des droits de domaine)
    cmd.exe /c "net group `"Domain Admins`" $user /delete"