Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Huntress a signalé une augmentation des attaques exploitant des instances compromises de surveillance et de gestion à distance Bomgar suite à la divulgation publique du CVE-2026-1731. Les acteurs de la menace ont utilisé la faille pour exécuter du code à distance, créer des comptes à privilèges élevés, et déployer des logiciels d’accès à distance supplémentaires et des ransomwares. Dans plusieurs cas, l’activité a conduit au déploiement du ransomware LockBit, ainsi que d’outils tels qu’AnyDesk et Atera. La campagne a touché à la fois les clients directs de Bomgar et les organisations en aval qu’ils soutiennent.
Investigation
Le SOC de Huntress a suivi plusieurs incidents entre février et avril 2026 et a identifié une activité malveillante liée à bomgar-scc.exe, avec des attaquants utilisant des sessions RMM détournées pour lancer des outils tels que NetScan, HRSword, et des pilotes personnalisés. Les intrus ont créé de nouveaux comptes d’administrateur local et de domaine, installé des agents RMM secondaires, et exécuté la charge utile du ransomware LockBit LB3.exe. Les enquêteurs ont également trouvé des signes d’utilisation avérée du constructeur LockBit 3.0 et de techniques de type apportez votre propre pilote vulnérable dans les environnements affectés.
Atténuation
Les organisations doivent appliquer les correctifs officiels de BeyondTrust Remote Support qui corrigent le CVE-2026-1731 et mettre à jour les systèmes affectés vers la version 25.3.2 ou ultérieure. Les équipes de sécurité doivent également surveiller la création inattendue de comptes à privilèges, l’exécution d’outils RMM non autorisés, des tâches planifiées suspectes, et des installations inhabituelles de pilotes. Des contrôles d’accès stricts et une supervision accrue des plateformes RMM sont essentiels pour réduire le risque de compromissions similaires.
Réponse
Si cette activité est détectée, isolez immédiatement les systèmes impactés, révoquez les identifiants Bomgar compromis, et retirez les outils de gestion à distance non autorisés de l’environnement. Les intervenants en cas d’incident devraient ensuite effectuer une analyse forensic pour identifier les charges utiles de ransomware, les mécanismes de persistance, et tout mouvement latéral. Les efforts de récupération devraient s’appuyer sur des sauvegardes saines, tandis que les clients en aval devraient être avisés rapidement pour que la remédiation et le renforcement coordonnés puissent commencer.
graph TB classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef driver fill:#ffddaa classDef account fill:#ccccff classDef system fill:#dddddd initial_access[« <b>Accès initial</b> – <b>T1210 Exploitation des services distants</b><br/>Vulnérabilité non authentifiée CVE-2026-1731 dans Bomgar (BeyondTrust Remote Support) permettant l’exécution de code. »]:::action tool_bomgar[« <b>Outil</b> – <b>Nom</b> : Bomgar Remote Support<br/><b>Vulnérabilité</b> : CVE-2026-1731 »]:::tool execution_proxy[« <b>Exécution</b> – <b>T1218 Exécution proxy via binaire système</b><br/>Binaire signé HRSword.exe utilisé comme proxy pour lancer la charge malveillante LB3.exe. »]:::action execution_script[« <b>Exécution</b> – <b>T1216 Exécution proxy via script système</b> »]:::action tool_hrsword[« <b>Outil</b> – <b>Nom</b> : HRSword.exe<br/><b>Signé</b> : Oui (subversion de la signature de code) »]:::tool malware_lb3[« <b>Malware</b> – <b>Nom</b> : LB3.exe (variante LockBit)<br/><b>Objectif</b> : chiffrement par ransomware »]:::malware subvert_trust[« <b>Sous-technique</b> – <b>T1553.002 Signature de code</b><br/>Signatures valides exploitées pour contourner les contrôles de confiance. »]:::action masquerade[« <b>Sous-technique</b> – <b>T1036.001 Usurpation avec signature de code invalide</b><br/>Le binaire semble légitime malgré une intention malveillante. »]:::action trusted_proxy[« <b>Sous-technique</b> – <b>T1127 Exécution proxy via utilitaires développeur de confiance</b><br/>Les pilotes agissent comme proxy pour le code malveillant. »]:::action device_discovery[« <b>Sous-technique</b> – <b>T1652 Découverte des pilotes de périphériques</b><br/>Identifier les pilotes chargés dans le système. »]:::action persistence_local_account[« <b>Persistance</b> – <b>T1136.001 Création de compte : Local</b><br/>Compte local \ »Adminpwd123.1\ » créé. »]:::action persistence_domain_account[« <b>Persistance</b> – <b>T1136.002 Création de compte : Domaine</b><br/>Compte de domaine \ »123123qwEqwE\ » créé. »]:::action valid_account_local[« <b>Comptes valides</b> – <b>T1078.003 Comptes locaux</b> »]:::account valid_account_domain[« <b>Comptes valides</b> – <b>T1078.002 Comptes de domaine</b> »]:::account account_manipulation[« <b>Élévation de privilèges</b> – <b>T1098.007 Groupes locaux ou de domaine supplémentaires</b><br/>Les comptes sont ajoutés aux groupes Administrators et Domain Admins. »]:::action defense_impair[« <b>Évasion de défense</b> – <b>T1562 Altération des défenses</b><br/>Des pilotes malveillants sont installés pour arrêter les solutions EDR. »]:::action driver_poisonx[« <b>Pilote</b> – <b>Nom</b> : PoisonX.sys<br/><b>Fonction</b> : Désactive la surveillance de sécurité. »]:::driver driver_hrwfpdrv[« <b>Pilote</b> – <b>Nom</b> : hrwfpdrv.sys<br/><b>Fonction</b> : Désactive la surveillance de sécurité. »]:::driver lateral_ssh[« <b>Mouvement latéral</b> – <b>T1021.004 Services distants : SSH</b><br/>Shell Bomgar compromis (SYSTEM) utilisé pour exécuter des commandes sur d’autres hôtes. »]:::action remote_services[« <b>Mouvement latéral</b> – <b>T1021 Services distants</b> »]:::action tool_anydesk[« <b>Outil</b> – <b>Nom</b> : AnyDesk »]:::tool tool_atera[« <b>Outil</b> – <b>Nom</b> : Atera<br/><b>Installation</b> : msiexec C:\\PerfLogs\\setup.msi, tâche planifiée AteraAgentServiceWatchdog »]:::tool tool_screenconnect[« <b>Outil</b> – <b>Nom</b> : ScreenConnect Client<br/><b>Chemin</b> : C:\\Program Files (x86)\\ScreenConnect Client »]:::tool discovery_groups[« <b>Découverte</b> – <b>T1069.002 Découverte des groupes de permissions : groupes de domaine</b><br/>Énumération des groupes de domaine et de leurs membres. »]:::action discovery_network[« <b>Découverte</b> – <b>T1590 Collecte d’informations réseau de la victime</b><br/>NetScan et nltest.exe utilisés pour l’énumération du réseau. »]:::action impact_encryption[« <b>Impact</b> – <b>T1486 Données chiffrées pour impact</b><br/>LockBit chiffre les fichiers sur les points d’extrémité compromis. »]:::action impact_financial[« <b>Impact</b> – <b>T1657 Vol financier</b><br/>Note de rançon avec adresse onionmail fournie pour le paiement. »]:::action initial_access –>|exploits| tool_bomgar tool_bomgar –>|provides access to| execution_proxy execution_proxy –>|uses| tool_hrsword tool_hrsword –>|launches| malware_lb3 malware_lb3 –>|performs| impact_encryption execution_proxy –>|subverts trust via| subvert_trust execution_proxy –>|masquerades as| masquerade execution_proxy –>|leverages| trusted_proxy subvert_trust –>|enables creation of| persistence_local_account subvert_trust –>|enables creation of| persistence_domain_account persistence_local_account –>|creates| valid_account_local persistence_domain_account –>|creates| valid_account_domain valid_account_local –>|added to| account_manipulation valid_account_domain –>|added to| account_manipulation account_manipulation –>|grants| lateral_ssh defense_impair –>|installs| driver_poisonx defense_impair –>|installs| driver_hrwfpdrv driver_poisonx –>|disables| tool_anydesk driver_hrwfpdrv –>|disables| tool_atera lateral_ssh –>|uses| remote_services remote_services –>|deploys| tool_anydesk remote_services –>|deploys| tool_atera remote_services –>|deploys| tool_screenconnect discovery_groups –>|feeds information to| lateral_ssh discovery_network –>|feeds information to| lateral_ssh impact_encryption –>|leads to| impact_financial
Flux du Attaque
Détections
Ajouter un Utilisateur aux Administrateurs Locaux (via cmdline)
Voir
Exécution Suspecte depuis le Répertoire PerfLogs (via process_creation)
Voir
Logiciel Alternatif de Gestion/Accès à Distance (via process_creation)
Voir
Logiciel Alternatif de Gestion/Accès à Distance (via système)
Voir
Logiciel Alternatif de Gestion/Accès à Distance (via audit)
Voir
IOC (HashSha256) pour détecter : Conseil de Menace : Augmentation de l’Exploitation de Bomgar RMM
Voir
IOC (SourceIP) pour détecter : Conseil de Menace : Augmentation de l’Exploitation de Bomgar RMM
Voir
IOC (DestinationIP) pour détecter : Conseil de Menace : Augmentation de l’Exploitation de Bomgar RMM
Voir
Détecter l’Ajout d’Utilisateur aux Groupes Admins via Exploitation Bomgar [Journal d’événements de sécurité Microsoft Windows]
Voir
Détection de Processus Malveillants dans les Instances RMM Bomgar Compromises [Création de Processus Windows]
Voir
Exécution de Simulation
Prérequis : Le Contrôle de Pré-voyage de Télémétrie & Baseline doit avoir été validé.
Raison : Cette section décrit l’exécution précise de la technique d’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit doivent refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Narration d’Attaque & Commandes :
- Pied-à-terre initial : L’attaquant utilise une session Bomgar compromise pour ouvrir une invite de commande à distance sur la machine cible.
- Préparation des identifiants : L’attaquant connaît le fragment de mot de passe admin de domaine de la victime
Adminpwd123.1et un jeton de service volé123123qwEqwE. - Escalade de privilèges : Pour se fondre avec l’activité légitime, l’attaquant invoque le binaire natif
net.exe, intégrant les deux fragments dans la ligne de commande (les fragments ne sont pas requis pour lnetopération mais satisferont la correspondance de chaîne de la règle). - Ajout de groupe : L’attaquant ajoute un nouvel utilisateur créé
eviladminà la fois au groupe Administrateurs locaux et au groupe Admins de Domaine.
La ligne de commande exacte exécutée sur l’hôte compromis est :
cmd /c "net localgroup administrators eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"Une commande similaire est exécutée pour le groupe de domaine :
cmd /c "net group "Domain Admins" eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1" -
Script de Test de Régression :
#========================================================================= # Test d'ajout de groupe exploitation‑Bomgar – déclenche la règle Sigma a1672291‑... #========================================================================= $user = "eviladmin" $pwdFragment = "123123qwEqwE" $adminPwdFragment = "Adminpwd123.1" # Ajouter aux Administrateurs Locaux (net.exe) $localCmd = "net localgroup administrators $user /add && echo $pwdFragment && echo $adminPwdFragment" Write-Host "Exécution de l'ajout admin local..." cmd.exe /c $localCmd # Ajouter aux Admins de Domaine (net.exe) – suppose que la machine est jointe au domaine $domainCmd = "net group `"Domain Admins`" $user /add && echo $pwdFragment && echo $adminPwdFragment" Write-Host "Exécution de l'ajout admin de domaine..." cmd.exe /c $domainCmd -
Commandes de Nettoyage :
# Supprimer l'utilisateur de test des groupes privilégiés $user = "eviladmin" # Nettoyage des Administrateurs Locaux cmd.exe /c "net localgroup administrators $user /delete" # Nettoyage des Admins de Domaine (nécessite des droits de domaine) cmd.exe /c "net group `"Domain Admins`" $user /delete"