Avviso di Minaccia: Gli Attaccanti Intensificano lo Sfruttamento di Bomgar RMM
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Huntress ha riportato un aumento degli attacchi che sfruttano le istanze Bomgar compromesse di monitoraggio e gestione remota a seguito della divulgazione pubblica di CVE-2026-1731. Gli attori delle minacce hanno utilizzato la vulnerabilità per eseguire codice da remoto, creare account con privilegi elevati e implementare software di accesso remoto aggiuntivi e ransomware. In diversi casi, l’attività ha portato all’implementazione del ransomware LockBit, insieme a strumenti come AnyDesk e Atera. La campagna ha colpito sia i clienti diretti di Bomgar che le organizzazioni a valle che supportano.
Indagine
Il SOC di Huntress ha monitorato più incidenti tra febbraio e aprile 2026 e ha identificato attività dannose legate a bomgar-scc.exe, con gli aggressori che utilizzano sessioni RMM compromesse per avviare strumenti tra cui NetScan, HRSword e driver personalizzati. Gli intrusi hanno creato nuovi account amministratore locali e di dominio, installato agenti RMM secondari ed eseguito il payload del ransomware LockBit LB3.exe. Gli investigatori hanno anche trovato segni di utilizzo di un builder LockBit 3.0 trapelato e tecniche di bring-your-own-vulnerable-driver all’interno degli ambienti colpiti.
Mitigazione
Le organizzazioni dovrebbero applicare le patch ufficiali BeyondTrust Remote Support che affrontano CVE-2026-1731 e aggiornare i sistemi interessati alla versione 25.3.2 o successiva. I team di sicurezza dovrebbero anche monitorare per la creazione inaspettata di account privilegiati, l’esecuzione di strumenti RMM non autorizzati, compiti programmati sospetti e installazioni di driver insolite. Controlli di accesso robusti e un monitoraggio più stretto delle piattaforme RMM sono essenziali per ridurre il rischio di compromessi simili.
Risposta
Se questa attività viene rilevata, isolare immediatamente i sistemi impattati, revocare le credenziali Bomgar compromesse e rimuovere gli strumenti di gestione remota non autorizzati dall’ambiente. Gli addetti alla risposta agli incidenti dovrebbero poi condurre un’analisi forense per identificare i payload del ransomware, i meccanismi di persistenza e qualsiasi movimento laterale. Gli sforzi di recupero dovrebbero fare affidamento su backup puliti, mentre i clienti a valle dovrebbero essere notificati prontamente affinché inizi una rimedio e un rafforzamento coordinato.
Flusso di Attacco
Rilevamenti
Aggiungi Utente agli Amministratori Locali (tramite cmdline)
Visualizza
Esecuzione Sospetta dalla Directory PerfLogs (tramite creazione_processi)
Visualizza
Software Alternativo di Accesso/ Gestione Remota (tramite creazione_processi)
Visualizza
Software Alternativo di Accesso/ Gestione Remota (tramite sistema)
Visualizza
Software Alternativo di Accesso/ Gestione Remota (tramite audit)
Visualizza
IOCs (HashSha256) per rilevare: Avviso di Minaccia: Aumento dello Sfruttamento di RMM Bomgar
Visualizza
IOCs (SourceIP) per rilevare: Avviso di Minaccia: Aumento dello Sfruttamento di RMM Bomgar
Visualizza
IOCs (DestinationIP) per rilevare: Avviso di Minaccia: Aumento dello Sfruttamento di RMM Bomgar
Visualizza
Individuazione dell’aggiunta di utenti ai gruppi di amministratori tramite sfruttamento Bomgar [Registro degli eventi di sicurezza di Microsoft Windows]
Visualizza
Rilevamento di Processi Dannosi in Istanza RMM Bomgar Compromessa [Windows Creazione di Processi]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo Pre-Volo di Telemetria e Baseline deve essere stato superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirano a generare l’esatta telemetria prevista dalla logica di rilevamento.
-
Narrativa dell’Attacco e Comandi:
- Primo punto d’appoggio: L’attaccante utilizza una sessione Bomgar compromessa per aprire un prompt dei comandi remoto sulla macchina di destinazione.
- Preparazione delle credenziali: L’attaccante conosce il frammento della password admin dominio della vittima
Adminpwd123.1e un token del servizio rubato123123qwEqwE. - Scalata di privilegi: Per mischiarsi con le attività legittime, l’attaccante invoca il nativo
net.exebinario, incorporando i due frammenti nella riga di comando (i frammenti non sono richiesti pernetl’operazione ma soddisferanno la corrispondenza delle stringhe della regola). - Aggiunta del gruppo: L’attaccante aggiunge un nuovo utente creato
eviladminsia al gruppo Amministratori locali che al gruppo Amministratori di Dominio.
La linea di comando esatta eseguita sull’host compromesso è:
cmd /c "net localgroup administrators eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"Un comando simile viene eseguito per il gruppo di dominio:
cmd /c "net group "Domain Admins" eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1" -
Script di Test di Regressione:
#========================================================================= # Test di aggiunta ai gruppi tramite sfruttamento Bomgar – attiva la regola Sigma a1672291‑... #========================================================================= $user = "eviladmin" $pwdFragment = "123123qwEqwE" $adminPwdFragment = "Adminpwd123.1" # Aggiungi agli Amministratori Locali (net.exe) $localCmd = "net localgroup administrators $user /add && echo $pwdFragment && echo $adminPwdFragment" Write-Host "Esecuzione aggiunta ammin locale..." cmd.exe /c $localCmd # Aggiungi agli Amministratori di Dominio (net.exe) – assume che la macchina sia unita al dominio $domainCmd = "net group `"Domain Admins`" $user /add && echo $pwdFragment && echo $adminPwdFragment" Write-Host "Esecuzione aggiunta ammin dominio..." cmd.exe /c $domainCmd -
Comandi di Pulizia:
# Rimuovi l'utente di test dai gruppi privilegiati $user = "eviladmin" # Pulizia Amministratori Locali cmd.exe /c "net localgroup administrators $user /delete" # Pulizia Amministratori di Dominio (richiede diritti di dominio) cmd.exe /c "net group `"Domain Admins`" $user /delete"