Avviso di Minaccia: Gli Attaccanti Intensificano lo Sfruttamento di Bomgar RMM

SOC Prime Team

Segui

Avviso di Minaccia: Gli Attaccanti Intensificano lo Sfruttamento di Bomgar RMM

Detection stack

AIDR
Alert
ETL
Query

Rapporto
Flusso di Attacco
Rilevamenti
Simulazioni

Sommario

Huntress ha riportato un aumento degli attacchi che sfruttano le istanze Bomgar compromesse di monitoraggio e gestione remota a seguito della divulgazione pubblica di CVE-2026-1731. Gli attori delle minacce hanno utilizzato la vulnerabilità per eseguire codice da remoto, creare account con privilegi elevati e implementare software di accesso remoto aggiuntivi e ransomware. In diversi casi, l’attività ha portato all’implementazione del ransomware LockBit, insieme a strumenti come AnyDesk e Atera. La campagna ha colpito sia i clienti diretti di Bomgar che le organizzazioni a valle che supportano.

Indagine

Il SOC di Huntress ha monitorato più incidenti tra febbraio e aprile 2026 e ha identificato attività dannose legate a bomgar-scc.exe, con gli aggressori che utilizzano sessioni RMM compromesse per avviare strumenti tra cui NetScan, HRSword e driver personalizzati. Gli intrusi hanno creato nuovi account amministratore locali e di dominio, installato agenti RMM secondari ed eseguito il payload del ransomware LockBit LB3.exe. Gli investigatori hanno anche trovato segni di utilizzo di un builder LockBit 3.0 trapelato e tecniche di bring-your-own-vulnerable-driver all’interno degli ambienti colpiti.

Mitigazione

Le organizzazioni dovrebbero applicare le patch ufficiali BeyondTrust Remote Support che affrontano CVE-2026-1731 e aggiornare i sistemi interessati alla versione 25.3.2 o successiva. I team di sicurezza dovrebbero anche monitorare per la creazione inaspettata di account privilegiati, l’esecuzione di strumenti RMM non autorizzati, compiti programmati sospetti e installazioni di driver insolite. Controlli di accesso robusti e un monitoraggio più stretto delle piattaforme RMM sono essenziali per ridurre il rischio di compromessi simili.

Risposta

Se questa attività viene rilevata, isolare immediatamente i sistemi impattati, revocare le credenziali Bomgar compromesse e rimuovere gli strumenti di gestione remota non autorizzati dall’ambiente. Gli addetti alla risposta agli incidenti dovrebbero poi condurre un’analisi forense per identificare i payload del ransomware, i meccanismi di persistenza e qualsiasi movimento laterale. Gli sforzi di recupero dovrebbero fare affidamento su backup puliti, mentre i clienti a valle dovrebbero essere notificati prontamente affinché inizi una rimedio e un rafforzamento coordinato.

graph TB classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef driver fill:#ffddaa classDef account fill:#ccccff classDef system fill:#dddddd initial_access[“Accesso iniziale – T1210 Sfruttamento dei servizi remoti Vulnerabilità non autenticata CVE-2026-1731 in Bomgar (BeyondTrust Remote Support) consente l’esecuzione di codice.”]:::action tool_bomgar[“Strumento – Nome: Bomgar Remote Support Vulnerabilità: CVE-2026-1731”]:::tool execution_proxy[“Esecuzione – T1218 Esecuzione proxy tramite binario di sistema Il binario firmato HRSword.exe viene utilizzato come proxy per avviare il payload malevolo LB3.exe.”]:::action execution_script[“Esecuzione – T1216 Esecuzione proxy tramite script di sistema”]:::action tool_hrsword[“Strumento – Nome: HRSword.exe Firmato: Sì (sovversione della firma del codice)”]:::tool malware_lb3[“Malware – Nome: LB3.exe (variante LockBit) Scopo: crittografia ransomware”]:::malware subvert_trust[“Sotto-tecnica – T1553.002 Firma del codice Le firme valide vengono sfruttate per aggirare i controlli di fiducia.”]:::action masquerade[“Sotto-tecnica – T1036.001 Mascheramento con firma del codice non valida Il binario appare legittimo nonostante l’intento malevolo.”]:::action trusted_proxy[“Sotto-tecnica – T1127 Esecuzione proxy tramite utilità di sviluppo attendibili I driver agiscono come proxy per il codice malevolo.”]:::action device_discovery[“Sotto-tecnica – T1652 Scoperta dei driver di dispositivo Identificazione dei driver caricati nel sistema.”]:::action persistence_local_account[“Persistenza – T1136.001 Creazione account: locale Creato account locale \”Adminpwd123.1\”.”]:::action persistence_domain_account[“Persistenza – T1136.002 Creazione account: dominio Creato account di dominio \”123123qwEqwE\”.”]:::action valid_account_local[“Account validi – T1078.003 Account locali”]:::account valid_account_domain[“Account validi – T1078.002 Account di dominio”]:::account account_manipulation[“Escalation dei privilegi – T1098.007 Gruppi locali o di dominio aggiuntivi Gli account vengono aggiunti ai gruppi Administrators e Domain Admins.”]:::action defense_impair[“Evasione delle difese – T1562 Compromissione delle difese Driver malevoli installati per terminare le soluzioni EDR.”]:::action driver_poisonx[“Driver – Nome: PoisonX.sys Funzione: disabilita il monitoraggio di sicurezza.”]:::driver driver_hrwfpdrv[“Driver – Nome: hrwfpdrv.sys Funzione: disabilita il monitoraggio di sicurezza.”]:::driver lateral_ssh[“Movimento laterale – T1021.004 Servizi remoti: SSH Shell Bomgar compromessa (SYSTEM) utilizzata per eseguire comandi su host aggiuntivi.”]:::action remote_services[“Movimento laterale – T1021 Servizi remoti”]:::action tool_anydesk[“Strumento – Nome: AnyDesk”]:::tool tool_atera[“Strumento – Nome: Atera Installazione: msiexec C:\\PerfLogs\\setup.msi, attività pianificata AteraAgentServiceWatchdog”]:::tool tool_screenconnect[“Strumento – Nome: ScreenConnect Client Percorso: C:\\Program Files (x86)\\ScreenConnect Client”]:::tool discovery_groups[“Ricognizione – T1069.002 Scoperta dei gruppi di autorizzazione: gruppi di dominio Enumerazione dei gruppi di dominio e delle appartenenze.”]:::action discovery_network[“Ricognizione – T1590 Raccolta di informazioni di rete della vittima NetScan e nltest.exe utilizzati per l’enumerazione della rete.”]:::action impact_encryption[“Impatto – T1486 Dati cifrati per impatto LockBit cifra i file sugli endpoint compromessi.”]:::action impact_financial[“Impatto – T1657 Furto finanziario Nota di riscatto con indirizzo onionmail fornita per il pagamento.”]:::action initial_access –>|exploits| tool_bomgar tool_bomgar –>|provides access to| execution_proxy execution_proxy –>|uses| tool_hrsword tool_hrsword –>|launches| malware_lb3 malware_lb3 –>|performs| impact_encryption execution_proxy –>|subverts trust via| subvert_trust execution_proxy –>|masquerades as| masquerade execution_proxy –>|leverages| trusted_proxy subvert_trust –>|enables creation of| persistence_local_account subvert_trust –>|enables creation of| persistence_domain_account persistence_local_account –>|creates| valid_account_local persistence_domain_account –>|creates| valid_account_domain valid_account_local –>|added to| account_manipulation valid_account_domain –>|added to| account_manipulation account_manipulation –>|grants| lateral_ssh defense_impair –>|installs| driver_poisonx defense_impair –>|installs| driver_hrwfpdrv driver_poisonx –>|disables| tool_anydesk driver_hrwfpdrv –>|disables| tool_atera lateral_ssh –>|uses| remote_services remote_services –>|deploys| tool_anydesk remote_services –>|deploys| tool_atera remote_services –>|deploys| tool_screenconnect discovery_groups –>|feeds information to| lateral_ssh discovery_network –>|feeds information to| lateral_ssh impact_encryption –>|leads to| impact_financial

Flusso di Attacco

Narrativa dell’Attacco e Comandi:
1. Primo punto d’appoggio: L’attaccante utilizza una sessione Bomgar compromessa per aprire un prompt dei comandi remoto sulla macchina di destinazione.
2. Preparazione delle credenziali: L’attaccante conosce il frammento della password admin dominio della vittima Adminpwd123.1 e un token del servizio rubato 123123qwEqwE.
3. Scalata di privilegi: Per mischiarsi con le attività legittime, l’attaccante invoca il nativo net.exe binario, incorporando i due frammenti nella riga di comando (i frammenti non sono richiesti per net l’operazione ma soddisferanno la corrispondenza delle stringhe della regola).
4. Aggiunta del gruppo: L’attaccante aggiunge un nuovo utente creato eviladmin sia al gruppo Amministratori locali che al gruppo Amministratori di Dominio.
La linea di comando esatta eseguita sull’host compromesso è:
```
cmd /c "net localgroup administrators eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"
```
Un comando simile viene eseguito per il gruppo di dominio:
```
cmd /c "net group "Domain Admins" eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"
```

Script di Test di Regressione:

#=========================================================================
# Test di aggiunta ai gruppi tramite sfruttamento Bomgar – attiva la regola Sigma a1672291‑...
#=========================================================================
$user = "eviladmin"
$pwdFragment = "123123qwEqwE"
$adminPwdFragment = "Adminpwd123.1"

# Aggiungi agli Amministratori Locali (net.exe)
$localCmd = "net localgroup administrators $user /add && echo $pwdFragment && echo $adminPwdFragment"
Write-Host "Esecuzione aggiunta ammin locale..."
cmd.exe /c $localCmd

# Aggiungi agli Amministratori di Dominio (net.exe) – assume che la macchina sia unita al dominio
$domainCmd = "net group `"Domain Admins`" $user /add && echo $pwdFragment && echo $adminPwdFragment"
Write-Host "Esecuzione aggiunta ammin dominio..."
cmd.exe /c $domainCmd

Comandi di Pulizia:

# Rimuovi l'utente di test dai gruppi privilegiati
$user = "eviladmin"

# Pulizia Amministratori Locali
cmd.exe /c "net localgroup administrators $user /delete"

# Pulizia Amministratori di Dominio (richiede diritti di dominio)
cmd.exe /c "net group `"Domain Admins`" $user /delete"

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis