フォローする 
概要
Huntressは、CVE-2026-1731の公表後、侵害されたBomgarリモート監視および管理インスタンスを悪用する攻撃の増加を報告しました。脅威アクターはこの脆弱性を利用してリモートでコードを実行し、高権限のアカウントを作成し、追加のリモートアクセスソフトウェアやランサムウェアを展開しました。いくつかのケースでは、この活動がLockBitランサムウェアの展開につながり、AnyDeskやAteraなどのツールも使用されました。このキャンペーンは、直接のBomgar顧客と彼らがサポートする下流の組織の両方に影響を与えました。
調査
Huntress SOCは2026年2月から4月の間に複数のインシデントを追跡し、悪意のある活動が bomgar-scc.exeに関連していることを確認しました。攻撃者はハイジャックされたRMMセッションを使用してNetScan、HRSword、カスタムドライバーなどのツールを起動しました。侵入者は新しいローカルおよびドメイン管理者アカウントを作成し、副次的なRMMエージェントをインストールし、LockBitランサムウェアペイロード LB3.exeを実行しました。調査官はまた、流出したLockBit 3.0ビルダーの使用や脆弱なドライバーを持ち込む手法の兆候を確認しました。
緩和策
組織はCVE-2026-1731に対処するBeyondTrust Remote Supportの公式パッチを適用し、影響を受けたシステムをバージョン25.3.2以上にアップグレードする必要があります。セキュリティチームは、予期しない高権限アカウントの作成、無許可のRMMツールの実行、疑わしいスケジュールタスク、通常ではないドライバーのインストールを監視するべきです。強力なアクセス制御とRMMプラットフォームの厳密な監視が同様の侵害のリスクを軽減するために必須です。
対応
この活動が検出された場合、影響を受けたシステムを直ちに隔離し、侵害されたBomgarの資格情報を無効にし、無許可のリモート管理ツールを環境から削除してください。インシデントレスポンダーはその後、ランサムウェアペイロード、永続化メカニズム、横移動の兆候を特定するためのフォレンジック分析を実施するべきです。復旧作業はクリーンなバックアップに頼るべきで、下流の顧客には速やかに通知して、調整した修復と強化が始められるようにするべきです。
graph TB classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef driver fill:#ffddaa classDef account fill:#ccccff classDef system fill:#dddddd initial_access[“<b>初期アクセス</b> – <b>T1210 リモートサービスの悪用</b><br/>Bomgar(BeyondTrust Remote Support)の未認証脆弱性 CVE-2026-1731 によりコード実行が可能。”]:::action tool_bomgar[“<b>ツール</b> – <b>名称</b>: Bomgar Remote Support<br/><b>脆弱性</b>: CVE-2026-1731”]:::tool execution_proxy[“<b>実行</b> – <b>T1218 システムバイナリプロキシ実行</b><br/>署名済みバイナリ HRSword.exe をプロキシとして使用し、悪意あるペイロード LB3.exe を起動。”]:::action execution_script[“<b>実行</b> – <b>T1216 システムスクリプトプロキシ実行</b>”]:::action tool_hrsword[“<b>ツール</b> – <b>名称</b>: HRSword.exe<br/><b>署名済み</b>: はい(コード署名のサブバージョン)”]:::tool malware_lb3[“<b>マルウェア</b> – <b>名称</b>: LB3.exe(LockBitの亜種)<br/><b>目的</b>: ランサムウェアによる暗号化”]:::malware subvert_trust[“<b>サブ技術</b> – <b>T1553.002 コード署名</b><br/>有効な署名を利用して信頼制御を回避。”]:::action masquerade[“<b>サブ技術</b> – <b>T1036.001 無効なコード署名による偽装</b><br/>悪意があるにもかかわらず正規のように見える。”]:::action trusted_proxy[“<b>サブ技術</b> – <b>T1127 信頼された開発者ユーティリティのプロキシ実行</b><br/>ドライバが悪意あるコードのプロキシとして動作。”]:::action device_discovery[“<b>サブ技術</b> – <b>T1652 デバイスドライバの検出</b><br/>システム上のロード済みドライバを特定。”]:::action persistence_local_account[“<b>永続化</b> – <b>T1136.001 アカウント作成: ローカル</b><br/>ローカルアカウント \”Adminpwd123.1\” を作成。”]:::action persistence_domain_account[“<b>永続化</b> – <b>T1136.002 アカウント作成: ドメイン</b><br/>ドメインアカウント \”123123qwEqwE\” を作成。”]:::action valid_account_local[“<b>有効なアカウント</b> – <b>T1078.003 ローカルアカウント</b>”]:::account valid_account_domain[“<b>有効なアカウント</b> – <b>T1078.002 ドメインアカウント</b>”]:::account account_manipulation[“<b>権限昇格</b> – <b>T1098.007 追加のローカルまたはドメイングループ</b><br/>アカウントが Administrators および Domain Admins グループに追加。”]:::action defense_impair[“<b>防御回避</b> – <b>T1562 防御の無効化</b><br/>EDR を停止するための悪意あるドライバをインストール。”]:::action driver_poisonx[“<b>ドライバ</b> – <b>名称</b>: PoisonX.sys<br/><b>機能</b>: セキュリティ監視を無効化。”]:::driver driver_hrwfpdrv[“<b>ドライバ</b> – <b>名称</b>: hrwfpdrv.sys<br/><b>機能</b>: セキュリティ監視を無効化。”]:::driver lateral_ssh[“<b>ラテラルムーブメント</b> – <b>T1021.004 リモートサービス: SSH</b><br/>侵害された Bomgar シェル(SYSTEM)を使用して追加ホストでコマンドを実行。”]:::action remote_services[“<b>ラテラルムーブメント</b> – <b>T1021 リモートサービス</b>”]:::action tool_anydesk[“<b>ツール</b> – <b>名称</b>: AnyDesk”]:::tool tool_atera[“<b>ツール</b> – <b>名称</b>: Atera<br/><b>インストール</b>: msiexec C:\\PerfLogs\\setup.msi, スケジュールタスク AteraAgentServiceWatchdog”]:::tool tool_screenconnect[“<b>ツール</b> – <b>名称</b>: ScreenConnect Client<br/><b>パス</b>: C:\\Program Files (x86)\\ScreenConnect Client”]:::tool discovery_groups[“<b>探索</b> – <b>T1069.002 権限グループの探索: ドメイングループ</b><br/>ドメイングループとメンバーシップを列挙。”]:::action discovery_network[“<b>探索</b> – <b>T1590 被害者ネットワーク情報の収集</b><br/>NetScan と nltest.exe を使用してネットワークを列挙。”]:::action impact_encryption[“<b>影響</b> – <b>T1486 影響のためのデータ暗号化</b><br/>LockBit が侵害されたエンドポイントのファイルを暗号化。”]:::action impact_financial[“<b>影響</b> – <b>T1657 金銭的窃取</b><br/>支払いのための onionmail アドレス付きの身代金メモを提供。”]:::action initial_access –>|exploits| tool_bomgar tool_bomgar –>|provides access to| execution_proxy execution_proxy –>|uses| tool_hrsword tool_hrsword –>|launches| malware_lb3 malware_lb3 –>|performs| impact_encryption execution_proxy –>|subverts trust via| subvert_trust execution_proxy –>|masquerades as| masquerade execution_proxy –>|leverages| trusted_proxy subvert_trust –>|enables creation of| persistence_local_account subvert_trust –>|enables creation of| persistence_domain_account persistence_local_account –>|creates| valid_account_local persistence_domain_account –>|creates| valid_account_domain valid_account_local –>|added to| account_manipulation valid_account_domain –>|added to| account_manipulation account_manipulation –>|grants| lateral_ssh defense_impair –>|installs| driver_poisonx defense_impair –>|installs| driver_hrwfpdrv driver_poisonx –>|disables| tool_anydesk driver_hrwfpdrv –>|disables| tool_atera lateral_ssh –>|uses| remote_services remote_services –>|deploys| tool_anydesk remote_services –>|deploys| tool_atera remote_services –>|deploys| tool_screenconnect discovery_groups –>|feeds information to| lateral_ssh discovery_network –>|feeds information to| lateral_ssh impact_encryption –>|leads to| impact_financial
攻撃フロー
検出
ローカル管理者へのユーザーの追加(コマンドライン経由)
表示
PerfLogs ディレクトリからの疑わしい実行 (プロセス作成経由)
表示
代替リモートアクセス/管理ソフトウェア (プロセス作成経由)
表示
代替リモートアクセス/管理ソフトウェア (システム経由)
表示
代替リモートアクセス/管理ソフトウェア (監査経由)
表示
IOC(HashSha256)を使用して検出:Bomgar RMMの悪用の増加に関する脅威アドバイザリ
表示
IOC(SourceIP)を使用して検出:Bomgar RMMの悪用の増加に関する脅威アドバイザリ
表示
IOC(DestinationIP)を使用して検出:Bomgar RMMの悪用の増加に関する脅威アドバイザリ
表示
Bomgarの悪用を介した管理グループへのユーザー追加を検出 [Microsoft Windows セキュリティ イベントログ]
表示
侵害されたBomgar RMMインスタンスでの悪意あるプロセスの検出 [Windows プロセス作成]
表示
シミュレーション実行
前提条件:テレメトリとベースラインプレフライトチェックが合格している必要があります。
根拠: このセクションは、検出ルールをトリガーするために設計された敵対者技術 (TTP) の正確な実行を詳細に説明します。コマンドと説明はTTPsで特定されたものを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的とします。
-
攻撃の説明とコマンド:
- 初期侵入: 攻撃者は、ターゲットマシン上でリモートのコマンドプロンプトを開くために侵害されたBomgarセッションを使用します。
- 資格情報の準備: 攻撃者は被害者のドメイン管理者パスワードのフラグメント
Adminpwd123.1と盗まれたサービストークン123123qwEqwE. - 権限昇格: 正当な活動に見せかけるため、攻撃者はネイティブの
net.exeバイナリを呼び出し、2つのフラグメントをコマンドラインに埋め込みます(フラグメントは操作には必要ありませんが、ルールの文字列マッチを満たします)。netoperation but will satisfy the rule’s string match). - グループ追加: 攻撃者は新たに作成したユーザー
eviladminをローカルの管理者グループとドメイン管理者グループの両方に追加します。
侵害されたホストで実行される正確なコマンドラインは以下の通りです:
cmd /c "net localgroup administrators eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"ドメイングループに対しては、類似のコマンドが実行されます:
cmd /c "net group "Domain Admins" eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1" -
回帰テストスクリプト:
#========================================================================= # Bomgarの悪用によるグループ追加テスト – Sigmaルールa1672291-をトリガーします。 #========================================================================= $user = "eviladmin" $pwdFragment = "123123qwEqwE" $adminPwdFragment = "Adminpwd123.1" # ローカル管理者への追加(net.exe) $localCmd = "net localgroup administrators $user /add && echo $pwdFragment && echo $adminPwdFragment" Write-Host "ローカル管理者追加を実行中..." cmd.exe /c $localCmd # ドメイン管理者への追加(net.exe) – 機械がドメインに参加していることを想定 $domainCmd = "net group `"Domain Admins`" $user /add && echo $pwdFragment && echo $adminPwdFragment" Write-Host "ドメイン管理者追加を実行中..." cmd.exe /c $domainCmd -
クリーンアップコマンド:
# テストユーザーを特権グループから削除 $user = "eviladmin" # ローカル管理者クリーンアップ cmd.exe /c "net localgroup administrators $user /delete" # ドメイン管理者クリーンアップ(ドメイン権限が必要) cmd.exe /c "net group `"Domain Admins`" $user /delete"