脅威アドバイザリ:攻撃者がBomgar RMMの悪用を強化
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Huntressは、CVE-2026-1731の公表後、侵害されたBomgarリモート監視および管理インスタンスを悪用する攻撃の増加を報告しました。脅威アクターはこの脆弱性を利用してリモートでコードを実行し、高権限のアカウントを作成し、追加のリモートアクセスソフトウェアやランサムウェアを展開しました。いくつかのケースでは、この活動がLockBitランサムウェアの展開につながり、AnyDeskやAteraなどのツールも使用されました。このキャンペーンは、直接のBomgar顧客と彼らがサポートする下流の組織の両方に影響を与えました。
調査
Huntress SOCは2026年2月から4月の間に複数のインシデントを追跡し、悪意のある活動が bomgar-scc.exeに関連していることを確認しました。攻撃者はハイジャックされたRMMセッションを使用してNetScan、HRSword、カスタムドライバーなどのツールを起動しました。侵入者は新しいローカルおよびドメイン管理者アカウントを作成し、副次的なRMMエージェントをインストールし、LockBitランサムウェアペイロード LB3.exeを実行しました。調査官はまた、流出したLockBit 3.0ビルダーの使用や脆弱なドライバーを持ち込む手法の兆候を確認しました。
緩和策
組織はCVE-2026-1731に対処するBeyondTrust Remote Supportの公式パッチを適用し、影響を受けたシステムをバージョン25.3.2以上にアップグレードする必要があります。セキュリティチームは、予期しない高権限アカウントの作成、無許可のRMMツールの実行、疑わしいスケジュールタスク、通常ではないドライバーのインストールを監視するべきです。強力なアクセス制御とRMMプラットフォームの厳密な監視が同様の侵害のリスクを軽減するために必須です。
対応
この活動が検出された場合、影響を受けたシステムを直ちに隔離し、侵害されたBomgarの資格情報を無効にし、無許可のリモート管理ツールを環境から削除してください。インシデントレスポンダーはその後、ランサムウェアペイロード、永続化メカニズム、横移動の兆候を特定するためのフォレンジック分析を実施するべきです。復旧作業はクリーンなバックアップに頼るべきで、下流の顧客には速やかに通知して、調整した修復と強化が始められるようにするべきです。
攻撃フロー
検出
ローカル管理者へのユーザーの追加(コマンドライン経由)
表示
PerfLogs ディレクトリからの疑わしい実行 (プロセス作成経由)
表示
代替リモートアクセス/管理ソフトウェア (プロセス作成経由)
表示
代替リモートアクセス/管理ソフトウェア (システム経由)
表示
代替リモートアクセス/管理ソフトウェア (監査経由)
表示
IOC(HashSha256)を使用して検出:Bomgar RMMの悪用の増加に関する脅威アドバイザリ
表示
IOC(SourceIP)を使用して検出:Bomgar RMMの悪用の増加に関する脅威アドバイザリ
表示
IOC(DestinationIP)を使用して検出:Bomgar RMMの悪用の増加に関する脅威アドバイザリ
表示
Bomgarの悪用を介した管理グループへのユーザー追加を検出 [Microsoft Windows セキュリティ イベントログ]
表示
侵害されたBomgar RMMインスタンスでの悪意あるプロセスの検出 [Windows プロセス作成]
表示
シミュレーション実行
前提条件:テレメトリとベースラインプレフライトチェックが合格している必要があります。
根拠: このセクションは、検出ルールをトリガーするために設計された敵対者技術 (TTP) の正確な実行を詳細に説明します。コマンドと説明はTTPsで特定されたものを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的とします。
-
攻撃の説明とコマンド:
- 初期侵入: 攻撃者は、ターゲットマシン上でリモートのコマンドプロンプトを開くために侵害されたBomgarセッションを使用します。
- 資格情報の準備: 攻撃者は被害者のドメイン管理者パスワードのフラグメント
Adminpwd123.1と盗まれたサービストークン123123qwEqwE. - 権限昇格: 正当な活動に見せかけるため、攻撃者はネイティブの
net.exeバイナリを呼び出し、2つのフラグメントをコマンドラインに埋め込みます(フラグメントは操作には必要ありませんが、ルールの文字列マッチを満たします)。netoperation but will satisfy the rule’s string match). - グループ追加: 攻撃者は新たに作成したユーザー
eviladminをローカルの管理者グループとドメイン管理者グループの両方に追加します。
侵害されたホストで実行される正確なコマンドラインは以下の通りです:
cmd /c "net localgroup administrators eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"ドメイングループに対しては、類似のコマンドが実行されます:
cmd /c "net group "Domain Admins" eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1" -
回帰テストスクリプト:
#========================================================================= # Bomgarの悪用によるグループ追加テスト – Sigmaルールa1672291-をトリガーします。 #========================================================================= $user = "eviladmin" $pwdFragment = "123123qwEqwE" $adminPwdFragment = "Adminpwd123.1" # ローカル管理者への追加(net.exe) $localCmd = "net localgroup administrators $user /add && echo $pwdFragment && echo $adminPwdFragment" Write-Host "ローカル管理者追加を実行中..." cmd.exe /c $localCmd # ドメイン管理者への追加(net.exe) – 機械がドメインに参加していることを想定 $domainCmd = "net group `"Domain Admins`" $user /add && echo $pwdFragment && echo $adminPwdFragment" Write-Host "ドメイン管理者追加を実行中..." cmd.exe /c $domainCmd -
クリーンアップコマンド:
# テストユーザーを特権グループから削除 $user = "eviladmin" # ローカル管理者クリーンアップ cmd.exe /c "net localgroup administrators $user /delete" # ドメイン管理者クリーンアップ(ドメイン権限が必要) cmd.exe /c "net group `"Domain Admins`" $user /delete"