Alerte de Menace : Intensification de l’Exploitation de Bomgar RMM par les Attaquants
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Huntress a signalé une augmentation des attaques exploitant des instances compromises de surveillance et de gestion à distance Bomgar suite à la divulgation publique du CVE-2026-1731. Les acteurs de la menace ont utilisé la faille pour exécuter du code à distance, créer des comptes à privilèges élevés, et déployer des logiciels d’accès à distance supplémentaires et des ransomwares. Dans plusieurs cas, l’activité a conduit au déploiement du ransomware LockBit, ainsi que d’outils tels qu’AnyDesk et Atera. La campagne a touché à la fois les clients directs de Bomgar et les organisations en aval qu’ils soutiennent.
Investigation
Le SOC de Huntress a suivi plusieurs incidents entre février et avril 2026 et a identifié une activité malveillante liée à bomgar-scc.exe, avec des attaquants utilisant des sessions RMM détournées pour lancer des outils tels que NetScan, HRSword, et des pilotes personnalisés. Les intrus ont créé de nouveaux comptes d’administrateur local et de domaine, installé des agents RMM secondaires, et exécuté la charge utile du ransomware LockBit LB3.exe. Les enquêteurs ont également trouvé des signes d’utilisation avérée du constructeur LockBit 3.0 et de techniques de type apportez votre propre pilote vulnérable dans les environnements affectés.
Atténuation
Les organisations doivent appliquer les correctifs officiels de BeyondTrust Remote Support qui corrigent le CVE-2026-1731 et mettre à jour les systèmes affectés vers la version 25.3.2 ou ultérieure. Les équipes de sécurité doivent également surveiller la création inattendue de comptes à privilèges, l’exécution d’outils RMM non autorisés, des tâches planifiées suspectes, et des installations inhabituelles de pilotes. Des contrôles d’accès stricts et une supervision accrue des plateformes RMM sont essentiels pour réduire le risque de compromissions similaires.
Réponse
Si cette activité est détectée, isolez immédiatement les systèmes impactés, révoquez les identifiants Bomgar compromis, et retirez les outils de gestion à distance non autorisés de l’environnement. Les intervenants en cas d’incident devraient ensuite effectuer une analyse forensic pour identifier les charges utiles de ransomware, les mécanismes de persistance, et tout mouvement latéral. Les efforts de récupération devraient s’appuyer sur des sauvegardes saines, tandis que les clients en aval devraient être avisés rapidement pour que la remédiation et le renforcement coordonnés puissent commencer.
Flux du Attaque
Détections
Ajouter un Utilisateur aux Administrateurs Locaux (via cmdline)
Voir
Exécution Suspecte depuis le Répertoire PerfLogs (via process_creation)
Voir
Logiciel Alternatif de Gestion/Accès à Distance (via process_creation)
Voir
Logiciel Alternatif de Gestion/Accès à Distance (via système)
Voir
Logiciel Alternatif de Gestion/Accès à Distance (via audit)
Voir
IOC (HashSha256) pour détecter : Conseil de Menace : Augmentation de l’Exploitation de Bomgar RMM
Voir
IOC (SourceIP) pour détecter : Conseil de Menace : Augmentation de l’Exploitation de Bomgar RMM
Voir
IOC (DestinationIP) pour détecter : Conseil de Menace : Augmentation de l’Exploitation de Bomgar RMM
Voir
Détecter l’Ajout d’Utilisateur aux Groupes Admins via Exploitation Bomgar [Journal d’événements de sécurité Microsoft Windows]
Voir
Détection de Processus Malveillants dans les Instances RMM Bomgar Compromises [Création de Processus Windows]
Voir
Exécution de Simulation
Prérequis : Le Contrôle de Pré-voyage de Télémétrie & Baseline doit avoir été validé.
Raison : Cette section décrit l’exécution précise de la technique d’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit doivent refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Narration d’Attaque & Commandes :
- Pied-à-terre initial : L’attaquant utilise une session Bomgar compromise pour ouvrir une invite de commande à distance sur la machine cible.
- Préparation des identifiants : L’attaquant connaît le fragment de mot de passe admin de domaine de la victime
Adminpwd123.1et un jeton de service volé123123qwEqwE. - Escalade de privilèges : Pour se fondre avec l’activité légitime, l’attaquant invoque le binaire natif
net.exe, intégrant les deux fragments dans la ligne de commande (les fragments ne sont pas requis pour lnetopération mais satisferont la correspondance de chaîne de la règle). - Ajout de groupe : L’attaquant ajoute un nouvel utilisateur créé
eviladminà la fois au groupe Administrateurs locaux et au groupe Admins de Domaine.
La ligne de commande exacte exécutée sur l’hôte compromis est :
cmd /c "net localgroup administrators eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"Une commande similaire est exécutée pour le groupe de domaine :
cmd /c "net group "Domain Admins" eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1" -
Script de Test de Régression :
#========================================================================= # Test d'ajout de groupe exploitation‑Bomgar – déclenche la règle Sigma a1672291‑... #========================================================================= $user = "eviladmin" $pwdFragment = "123123qwEqwE" $adminPwdFragment = "Adminpwd123.1" # Ajouter aux Administrateurs Locaux (net.exe) $localCmd = "net localgroup administrators $user /add && echo $pwdFragment && echo $adminPwdFragment" Write-Host "Exécution de l'ajout admin local..." cmd.exe /c $localCmd # Ajouter aux Admins de Domaine (net.exe) – suppose que la machine est jointe au domaine $domainCmd = "net group `"Domain Admins`" $user /add && echo $pwdFragment && echo $adminPwdFragment" Write-Host "Exécution de l'ajout admin de domaine..." cmd.exe /c $domainCmd -
Commandes de Nettoyage :
# Supprimer l'utilisateur de test des groupes privilégiés $user = "eviladmin" # Nettoyage des Administrateurs Locaux cmd.exe /c "net localgroup administrators $user /delete" # Nettoyage des Admins de Domaine (nécessite des droits de domaine) cmd.exe /c "net group `"Domain Admins`" $user /delete"