팔로우 
요약
Huntress는 CVE-2026-1731의 공개 후 취약한 Bomgar 원격 모니터링 및 관리 인스턴스를 악용한 공격이 증가했다고 보고했습니다. 위협 행위자는 이 결함을 이용해 원격으로 코드를 실행하고, 높은 권한을 가진 계정을 생성하며, 추가적인 원격 액세스 소프트웨어와 랜섬웨어를 배포했습니다. 여러 사례에서 이 활동은 LockBit 랜섬웨어의 배포로 이어졌으며, AnyDesk 및 Atera와 같은 도구도 사용되었습니다. 이 캠페인은 직접적인 Bomgar 고객뿐만 아니라 그들이 지원하는 하위 조직에도 영향을 미쳤습니다.
조사
Huntress SOC는 2026년 2월과 4월 사이에 발생한 여러 사건을 추적하고 악성 활동을 bomgar-scc.exe에 연결했습니다. 공격자는 하이재킹된 RMM 세션을 사용해 NetScan, HRSword 및 사용자 정의 드라이버를 포함한 도구를 실행했습니다. 침입자는 새로운 로컬 및 도메인 관리자 계정을 생성하고, 2차 RMM 에이전트를 설치하며, LockBit 랜섬웨어 페이로드 LB3.exe를 실행했습니다. 조사관들은 유출된 LockBit 3.0 빌더 사용 및 취약한 드라이버 기법을 사용한 증거를 발견했습니다.
완화
조직은 CVE-2026-1731을 해결하는 공식 BeyondTrust Remote Support 패치를 적용하고 영향을 받은 시스템을 버전 25.3.2 이상으로 업그레이드해야 합니다. 보안팀은 예상치 못한 권한 있는 계정 생성, 승인되지 않은 RMM 도구 실행, 의심스러운 예약 작업 및 비정상적인 드라이버 설치를 모니터링해야 합니다. 강력한 접근 통제와 RMM 플랫폼에 대한 엄격한 감독은 유사한 악용 위험을 줄이는데 필수적입니다.
대응
이 활동이 감지되면 즉시 영향을 받은 시스템을 격리하고, 손상된 Bomgar 자격 증명을 취소하며, 환경에서 승인되지 않은 원격 관리 도구를 제거하십시오. 사건 대응자는 그 후 법의학 분석을 수행하여 랜섬웨어 페이로드, 지속 메커니즘 및 횡적 이동을 식별해야 합니다. 복구 노력은 깨끗한 백업에 의존해야 하며, 하위 고객은 신속히 통보하여 조정된 복구 및 강화 작업이 시작될 수 있도록 해야 합니다.
graph TB classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef driver fill:#ffddaa classDef account fill:#ccccff classDef system fill:#dddddd initial_access[“<b>초기 접근</b> – <b>T1210 원격 서비스 악용</b><br/>Bomgar(BeyondTrust Remote Support)의 인증되지 않은 취약점 CVE-2026-1731을 통해 코드 실행 가능.”]:::action tool_bomgar[“<b>도구</b> – <b>이름</b>: Bomgar Remote Support<br/><b>취약점</b>: CVE-2026-1731”]:::tool execution_proxy[“<b>실행</b> – <b>T1218 시스템 바이너리 프록시 실행</b><br/>서명된 바이너리 HRSword.exe를 프록시로 사용하여 악성 페이로드 LB3.exe 실행.”]:::action execution_script[“<b>실행</b> – <b>T1216 시스템 스크립트 프록시 실행</b>”]:::action tool_hrsword[“<b>도구</b> – <b>이름</b>: HRSword.exe<br/><b>서명됨</b>: 예 (코드 서명 우회)”]:::tool malware_lb3[“<b>멀웨어</b> – <b>이름</b>: LB3.exe (LockBit 변종)<br/><b>목적</b>: 랜섬웨어 암호화”]:::malware subvert_trust[“<b>하위 기술</b> – <b>T1553.002 코드 서명</b><br/>유효한 서명을 활용하여 신뢰 제어를 우회.”]:::action masquerade[“<b>하위 기술</b> – <b>T1036.001 잘못된 코드 서명을 이용한 위장</b><br/>악의적인 의도에도 불구하고 정상처럼 보임.”]:::action trusted_proxy[“<b>하위 기술</b> – <b>T1127 신뢰된 개발자 유틸리티 프록시 실행</b><br/>드라이버가 악성 코드 실행을 위한 프록시로 동작.”]:::action device_discovery[“<b>하위 기술</b> – <b>T1652 장치 드라이버 탐지</b><br/>시스템에 로드된 드라이버 식별.”]:::action persistence_local_account[“<b>지속성</b> – <b>T1136.001 계정 생성: 로컬</b><br/>로컬 계정 \”Adminpwd123.1\” 생성.”]:::action persistence_domain_account[“<b>지속성</b> – <b>T1136.002 계정 생성: 도메인</b><br/>도메인 계정 \”123123qwEqwE\” 생성.”]:::action valid_account_local[“<b>유효한 계정</b> – <b>T1078.003 로컬 계정</b>”]:::account valid_account_domain[“<b>유효한 계정</b> – <b>T1078.002 도메인 계정</b>”]:::account account_manipulation[“<b>권한 상승</b> – <b>T1098.007 추가 로컬 또는 도메인 그룹</b><br/>계정이 Administrators 및 Domain Admins 그룹에 추가됨.”]:::action defense_impair[“<b>방어 회피</b> – <b>T1562 방어 무력화</b><br/>EDR 솔루션을 종료하기 위해 악성 드라이버 설치.”]:::action driver_poisonx[“<b>드라이버</b> – <b>이름</b>: PoisonX.sys<br/><b>기능</b>: 보안 모니터링 비활성화.”]:::driver driver_hrwfpdrv[“<b>드라이버</b> – <b>이름</b>: hrwfpdrv.sys<br/><b>기능</b>: 보안 모니터링 비활성화.”]:::driver lateral_ssh[“<b>측면 이동</b> – <b>T1021.004 원격 서비스: SSH</b><br/>손상된 Bomgar 셸(SYSTEM)을 사용하여 추가 호스트에서 명령 실행.”]:::action remote_services[“<b>측면 이동</b> – <b>T1021 원격 서비스</b>”]:::action tool_anydesk[“<b>도구</b> – <b>이름</b>: AnyDesk”]:::tool tool_atera[“<b>도구</b> – <b>이름</b>: Atera<br/><b>설치</b>: msiexec C:\\PerfLogs\\setup.msi, 예약 작업 AteraAgentServiceWatchdog”]:::tool tool_screenconnect[“<b>도구</b> – <b>이름</b>: ScreenConnect Client<br/><b>경로</b>: C:\\Program Files (x86)\\ScreenConnect Client”]:::tool discovery_groups[“<b>탐색</b> – <b>T1069.002 권한 그룹 탐색: 도메인 그룹</b><br/>도메인 그룹 및 멤버십 열거.”]:::action discovery_network[“<b>탐색</b> – <b>T1590 피해자 네트워크 정보 수집</b><br/>NetScan 및 nltest.exe를 사용한 네트워크 열거.”]:::action impact_encryption[“<b>영향</b> – <b>T1486 영향 목적 데이터 암호화</b><br/>LockBit이 침해된 엔드포인트의 파일을 암호화.”]:::action impact_financial[“<b>영향</b> – <b>T1657 금전적 탈취</b><br/>지불을 위한 onionmail 주소가 포함된 랜섬 노트 제공.”]:::action initial_access –>|exploits| tool_bomgar tool_bomgar –>|provides access to| execution_proxy execution_proxy –>|uses| tool_hrsword tool_hrsword –>|launches| malware_lb3 malware_lb3 –>|performs| impact_encryption execution_proxy –>|subverts trust via| subvert_trust execution_proxy –>|masquerades as| masquerade execution_proxy –>|leverages| trusted_proxy subvert_trust –>|enables creation of| persistence_local_account subvert_trust –>|enables creation of| persistence_domain_account persistence_local_account –>|creates| valid_account_local persistence_domain_account –>|creates| valid_account_domain valid_account_local –>|added to| account_manipulation valid_account_domain –>|added to| account_manipulation account_manipulation –>|grants| lateral_ssh defense_impair –>|installs| driver_poisonx defense_impair –>|installs| driver_hrwfpdrv driver_poisonx –>|disables| tool_anydesk driver_hrwfpdrv –>|disables| tool_atera lateral_ssh –>|uses| remote_services remote_services –>|deploys| tool_anydesk remote_services –>|deploys| tool_atera remote_services –>|deploys| tool_screenconnect discovery_groups –>|feeds information to| lateral_ssh discovery_network –>|feeds information to| lateral_ssh impact_encryption –>|leads to| impact_financial
공격 흐름
탐지
로컬 관리자에 사용자 추가 (cmdline 통해)
보기
PerfLogs 디렉토리에서의 의심스러운 실행 (프로세스 생성 통해)
보기
대체 원격 액세스 / 관리 소프트웨어 (프로세스 생성 통해)
보기
대체 원격 액세스 / 관리 소프트웨어 (시스템 통해)
보기
대체 원격 액세스 / 관리 소프트웨어 (감사 통해)
보기
위협 자문 탐지를 위한 IOCs (HashSha256): Bomgar RMM 익스플로잇 증가
보기
위협 자문 탐지를 위한 IOCs (SourceIP): Bomgar RMM 익스플로잇 증가
보기
위협 자문 탐지를 위한 IOCs (DestinationIP): Bomgar RMM 익스플로잇 증가
보기
Bomgar 익스플로잇을 통해 관리자 그룹에 사용자 추가 감지 [Microsoft Windows 보안 이벤트 로그]
보기
손상된 Bomgar RMM 인스턴스에서 악성 프로세스 감지 [Windows 프로세스 생성]
보기
시뮬레이션 실행
사전 준비: 텔레메트리 및 기준 사전 비행 검사가 통과해야 합니다.
근거: 이 섹션은 탐지 규칙을 유발하기 위해 고안된 상대 기술(TTP)의 정확한 실행을 설명합니다. 명령과 설명은 발견된 TTP를 직접 반영해야 하며 탐지 논리에 의해 기대되는 정확한 텔레메트리를 생성하는 것을 목표로 합니다.
-
공격 서술 및 명령:
- 초기 접촉: 공격자는 손상된 Bomgar 세션을 사용하여 대상 머신에서 원격 명령 프롬프트를 엽니다.
-
자격 증명 준비: 공격자는 피해자의 도메인 관리자 암호 조각을 알고 있으며
Adminpwd123.1및 도난당한 서비스 토큰123123qwEqwE. -
권한 상승: 합법적인 활동과 혼합하기 위해 공격자는 네이티브
net.exe바이너리를 호출하여 두 조각을 명령 줄에 포함합니다 (조각은net작업에 필요하지 않지만, 규칙의 문자열 일치를 만족시킬 것입니다). -
그룹 추가: 공격자는 새로 생성된 사용자
eviladmin을 로컬 관리자 그룹 및 도메인 관리자 그룹에 추가합니다.
손상된 호스트에서 실행된 정확한 명령 줄은 다음과 같습니다:
cmd /c "net localgroup administrators eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"도메인 그룹에 대해서도 유사한 명령이 실행됩니다:
cmd /c "net group "Domain Admins" eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1" -
회귀 테스트 스크립트:
#========================================================================= # Bomgar‑익스플로잇 그룹‑추가 테스트 – Sigma 규칙 a1672291-... 활성화 #========================================================================= $user = "eviladmin" $pwdFragment = "123123qwEqwE" $adminPwdFragment = "Adminpwd123.1" # 로컬 관리자에 추가 (net.exe) $localCmd = "net localgroup administrators $user /add && echo $pwdFragment && echo $adminPwdFragment" Write-Host "로컬 관리자 추가 실행 중..." cmd.exe /c $localCmd # 도메인 관리자에 추가 (net.exe) – 머신이 도메인에 조인되었음을 가정 $domainCmd = "net group `"Domain Admins`" $user /add && echo $pwdFragment && echo $adminPwdFragment" Write-Host "도메인 관리자 추가 실행 중..." cmd.exe /c $domainCmd -
정리 명령:
# 권한 그룹에서 테스트 사용자를 제거하십시오 $user = "eviladmin" # 로컬 관리자 정리 cmd.exe /c "net localgroup administrators $user /delete" # 도메인 관리자 정리 (도메인 권한 필요) cmd.exe /c "net group `"Domain Admins`" $user /delete"