SOC Prime Bias: Critico

22 Apr 2026 05:32 UTC

Avviso di Minaccia: Gli Attaccanti Intensificano lo Sfruttamento di Bomgar RMM

Author Photo
SOC Prime Team linkedin icon Segui
Avviso di Minaccia: Gli Attaccanti Intensificano lo Sfruttamento di Bomgar RMM
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

Huntress ha riportato un aumento degli attacchi che sfruttano le istanze Bomgar compromesse di monitoraggio e gestione remota a seguito della divulgazione pubblica di CVE-2026-1731. Gli attori delle minacce hanno utilizzato la vulnerabilità per eseguire codice da remoto, creare account con privilegi elevati e implementare software di accesso remoto aggiuntivi e ransomware. In diversi casi, l’attività ha portato all’implementazione del ransomware LockBit, insieme a strumenti come AnyDesk e Atera. La campagna ha colpito sia i clienti diretti di Bomgar che le organizzazioni a valle che supportano.

Indagine

Il SOC di Huntress ha monitorato più incidenti tra febbraio e aprile 2026 e ha identificato attività dannose legate a bomgar-scc.exe, con gli aggressori che utilizzano sessioni RMM compromesse per avviare strumenti tra cui NetScan, HRSword e driver personalizzati. Gli intrusi hanno creato nuovi account amministratore locali e di dominio, installato agenti RMM secondari ed eseguito il payload del ransomware LockBit LB3.exe. Gli investigatori hanno anche trovato segni di utilizzo di un builder LockBit 3.0 trapelato e tecniche di bring-your-own-vulnerable-driver all’interno degli ambienti colpiti.

Mitigazione

Le organizzazioni dovrebbero applicare le patch ufficiali BeyondTrust Remote Support che affrontano CVE-2026-1731 e aggiornare i sistemi interessati alla versione 25.3.2 o successiva. I team di sicurezza dovrebbero anche monitorare per la creazione inaspettata di account privilegiati, l’esecuzione di strumenti RMM non autorizzati, compiti programmati sospetti e installazioni di driver insolite. Controlli di accesso robusti e un monitoraggio più stretto delle piattaforme RMM sono essenziali per ridurre il rischio di compromessi simili.

Risposta

Se questa attività viene rilevata, isolare immediatamente i sistemi impattati, revocare le credenziali Bomgar compromesse e rimuovere gli strumenti di gestione remota non autorizzati dall’ambiente. Gli addetti alla risposta agli incidenti dovrebbero poi condurre un’analisi forense per identificare i payload del ransomware, i meccanismi di persistenza e qualsiasi movimento laterale. Gli sforzi di recupero dovrebbero fare affidamento su backup puliti, mentre i clienti a valle dovrebbero essere notificati prontamente affinché inizi una rimedio e un rafforzamento coordinato.

Flusso di Attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo Pre-Volo di Telemetria e Baseline deve essere stato superato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirano a generare l’esatta telemetria prevista dalla logica di rilevamento.

  • Narrativa dell’Attacco e Comandi:

    1. Primo punto d’appoggio: L’attaccante utilizza una sessione Bomgar compromessa per aprire un prompt dei comandi remoto sulla macchina di destinazione.
    2. Preparazione delle credenziali: L’attaccante conosce il frammento della password admin dominio della vittima Adminpwd123.1 e un token del servizio rubato 123123qwEqwE.
    3. Scalata di privilegi: Per mischiarsi con le attività legittime, l’attaccante invoca il nativo net.exe binario, incorporando i due frammenti nella riga di comando (i frammenti non sono richiesti per net l’operazione ma soddisferanno la corrispondenza delle stringhe della regola).
    4. Aggiunta del gruppo: L’attaccante aggiunge un nuovo utente creato eviladmin sia al gruppo Amministratori locali che al gruppo Amministratori di Dominio.

    La linea di comando esatta eseguita sull’host compromesso è:

    cmd /c "net localgroup administrators eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"

    Un comando simile viene eseguito per il gruppo di dominio:

    cmd /c "net group "Domain Admins" eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"
  • Script di Test di Regressione:

    #=========================================================================
    # Test di aggiunta ai gruppi tramite sfruttamento Bomgar – attiva la regola Sigma a1672291‑...
    #=========================================================================
    $user = "eviladmin"
    $pwdFragment = "123123qwEqwE"
    $adminPwdFragment = "Adminpwd123.1"
    
    # Aggiungi agli Amministratori Locali (net.exe)
    $localCmd = "net localgroup administrators $user /add && echo $pwdFragment && echo $adminPwdFragment"
    Write-Host "Esecuzione aggiunta ammin locale..."
    cmd.exe /c $localCmd
    
    # Aggiungi agli Amministratori di Dominio (net.exe) – assume che la macchina sia unita al dominio
    $domainCmd = "net group `"Domain Admins`" $user /add && echo $pwdFragment && echo $adminPwdFragment"
    Write-Host "Esecuzione aggiunta ammin dominio..."
    cmd.exe /c $domainCmd
  • Comandi di Pulizia:

    # Rimuovi l'utente di test dai gruppi privilegiati
    $user = "eviladmin"
    
    # Pulizia Amministratori Locali
    cmd.exe /c "net localgroup administrators $user /delete"
    
    # Pulizia Amministratori di Dominio (richiede diritti di dominio)
    cmd.exe /c "net group `"Domain Admins`" $user /delete"