SOC Prime Bias: 重大

22 Apr 2026 05:32 UTC

脅威アドバイザリ:攻撃者がBomgar RMMの悪用を強化

Author Photo
SOC Prime Team linkedin icon フォローする
脅威アドバイザリ:攻撃者がBomgar RMMの悪用を強化
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

Huntressは、CVE-2026-1731の公表後、侵害されたBomgarリモート監視および管理インスタンスを悪用する攻撃の増加を報告しました。脅威アクターはこの脆弱性を利用してリモートでコードを実行し、高権限のアカウントを作成し、追加のリモートアクセスソフトウェアやランサムウェアを展開しました。いくつかのケースでは、この活動がLockBitランサムウェアの展開につながり、AnyDeskやAteraなどのツールも使用されました。このキャンペーンは、直接のBomgar顧客と彼らがサポートする下流の組織の両方に影響を与えました。

調査

Huntress SOCは2026年2月から4月の間に複数のインシデントを追跡し、悪意のある活動が bomgar-scc.exeに関連していることを確認しました。攻撃者はハイジャックされたRMMセッションを使用してNetScan、HRSword、カスタムドライバーなどのツールを起動しました。侵入者は新しいローカルおよびドメイン管理者アカウントを作成し、副次的なRMMエージェントをインストールし、LockBitランサムウェアペイロード LB3.exeを実行しました。調査官はまた、流出したLockBit 3.0ビルダーの使用や脆弱なドライバーを持ち込む手法の兆候を確認しました。

緩和策

組織はCVE-2026-1731に対処するBeyondTrust Remote Supportの公式パッチを適用し、影響を受けたシステムをバージョン25.3.2以上にアップグレードする必要があります。セキュリティチームは、予期しない高権限アカウントの作成、無許可のRMMツールの実行、疑わしいスケジュールタスク、通常ではないドライバーのインストールを監視するべきです。強力なアクセス制御とRMMプラットフォームの厳密な監視が同様の侵害のリスクを軽減するために必須です。

対応

この活動が検出された場合、影響を受けたシステムを直ちに隔離し、侵害されたBomgarの資格情報を無効にし、無許可のリモート管理ツールを環境から削除してください。インシデントレスポンダーはその後、ランサムウェアペイロード、永続化メカニズム、横移動の兆候を特定するためのフォレンジック分析を実施するべきです。復旧作業はクリーンなバックアップに頼るべきで、下流の顧客には速やかに通知して、調整した修復と強化が始められるようにするべきです。

攻撃フロー

シミュレーション実行

前提条件:テレメトリとベースラインプレフライトチェックが合格している必要があります。

根拠: このセクションは、検出ルールをトリガーするために設計された敵対者技術 (TTP) の正確な実行を詳細に説明します。コマンドと説明はTTPsで特定されたものを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的とします。

  • 攻撃の説明とコマンド:

    1. 初期侵入: 攻撃者は、ターゲットマシン上でリモートのコマンドプロンプトを開くために侵害されたBomgarセッションを使用します。
    2. 資格情報の準備: 攻撃者は被害者のドメイン管理者パスワードのフラグメント Adminpwd123.1 と盗まれたサービストークン 123123qwEqwE.
    3. 権限昇格: 正当な活動に見せかけるため、攻撃者はネイティブの net.exe バイナリを呼び出し、2つのフラグメントをコマンドラインに埋め込みます(フラグメントは操作には必要ありませんが、ルールの文字列マッチを満たします)。 net operation but will satisfy the rule’s string match).
    4. グループ追加: 攻撃者は新たに作成したユーザー eviladmin をローカルの管理者グループとドメイン管理者グループの両方に追加します。

    侵害されたホストで実行される正確なコマンドラインは以下の通りです:

    cmd /c "net localgroup administrators eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"

    ドメイングループに対しては、類似のコマンドが実行されます:

    cmd /c "net group "Domain Admins" eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"
  • 回帰テストスクリプト:

    #=========================================================================
    # Bomgarの悪用によるグループ追加テスト – Sigmaルールa1672291-をトリガーします。
    #=========================================================================
    $user = "eviladmin"
    $pwdFragment = "123123qwEqwE"
    $adminPwdFragment = "Adminpwd123.1"
    
    # ローカル管理者への追加(net.exe)
    $localCmd = "net localgroup administrators $user /add && echo $pwdFragment && echo $adminPwdFragment"
    Write-Host "ローカル管理者追加を実行中..."
    cmd.exe /c $localCmd
    
    # ドメイン管理者への追加(net.exe) – 機械がドメインに参加していることを想定
    $domainCmd = "net group `"Domain Admins`" $user /add && echo $pwdFragment && echo $adminPwdFragment"
    Write-Host "ドメイン管理者追加を実行中..."
    cmd.exe /c $domainCmd
  • クリーンアップコマンド:

    # テストユーザーを特権グループから削除
    $user = "eviladmin"
    
    # ローカル管理者クリーンアップ
    cmd.exe /c "net localgroup administrators $user /delete"
    
    # ドメイン管理者クリーンアップ(ドメイン権限が必要)
    cmd.exe /c "net group `"Domain Admins`" $user /delete"