위협 주의보: 공격자, Bomgar RMM 악용 강화
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
Huntress는 CVE-2026-1731의 공개 후 취약한 Bomgar 원격 모니터링 및 관리 인스턴스를 악용한 공격이 증가했다고 보고했습니다. 위협 행위자는 이 결함을 이용해 원격으로 코드를 실행하고, 높은 권한을 가진 계정을 생성하며, 추가적인 원격 액세스 소프트웨어와 랜섬웨어를 배포했습니다. 여러 사례에서 이 활동은 LockBit 랜섬웨어의 배포로 이어졌으며, AnyDesk 및 Atera와 같은 도구도 사용되었습니다. 이 캠페인은 직접적인 Bomgar 고객뿐만 아니라 그들이 지원하는 하위 조직에도 영향을 미쳤습니다.
조사
Huntress SOC는 2026년 2월과 4월 사이에 발생한 여러 사건을 추적하고 악성 활동을 bomgar-scc.exe에 연결했습니다. 공격자는 하이재킹된 RMM 세션을 사용해 NetScan, HRSword 및 사용자 정의 드라이버를 포함한 도구를 실행했습니다. 침입자는 새로운 로컬 및 도메인 관리자 계정을 생성하고, 2차 RMM 에이전트를 설치하며, LockBit 랜섬웨어 페이로드 LB3.exe를 실행했습니다. 조사관들은 유출된 LockBit 3.0 빌더 사용 및 취약한 드라이버 기법을 사용한 증거를 발견했습니다.
완화
조직은 CVE-2026-1731을 해결하는 공식 BeyondTrust Remote Support 패치를 적용하고 영향을 받은 시스템을 버전 25.3.2 이상으로 업그레이드해야 합니다. 보안팀은 예상치 못한 권한 있는 계정 생성, 승인되지 않은 RMM 도구 실행, 의심스러운 예약 작업 및 비정상적인 드라이버 설치를 모니터링해야 합니다. 강력한 접근 통제와 RMM 플랫폼에 대한 엄격한 감독은 유사한 악용 위험을 줄이는데 필수적입니다.
대응
이 활동이 감지되면 즉시 영향을 받은 시스템을 격리하고, 손상된 Bomgar 자격 증명을 취소하며, 환경에서 승인되지 않은 원격 관리 도구를 제거하십시오. 사건 대응자는 그 후 법의학 분석을 수행하여 랜섬웨어 페이로드, 지속 메커니즘 및 횡적 이동을 식별해야 합니다. 복구 노력은 깨끗한 백업에 의존해야 하며, 하위 고객은 신속히 통보하여 조정된 복구 및 강화 작업이 시작될 수 있도록 해야 합니다.
공격 흐름
탐지
로컬 관리자에 사용자 추가 (cmdline 통해)
보기
PerfLogs 디렉토리에서의 의심스러운 실행 (프로세스 생성 통해)
보기
대체 원격 액세스 / 관리 소프트웨어 (프로세스 생성 통해)
보기
대체 원격 액세스 / 관리 소프트웨어 (시스템 통해)
보기
대체 원격 액세스 / 관리 소프트웨어 (감사 통해)
보기
위협 자문 탐지를 위한 IOCs (HashSha256): Bomgar RMM 익스플로잇 증가
보기
위협 자문 탐지를 위한 IOCs (SourceIP): Bomgar RMM 익스플로잇 증가
보기
위협 자문 탐지를 위한 IOCs (DestinationIP): Bomgar RMM 익스플로잇 증가
보기
Bomgar 익스플로잇을 통해 관리자 그룹에 사용자 추가 감지 [Microsoft Windows 보안 이벤트 로그]
보기
손상된 Bomgar RMM 인스턴스에서 악성 프로세스 감지 [Windows 프로세스 생성]
보기
시뮬레이션 실행
사전 준비: 텔레메트리 및 기준 사전 비행 검사가 통과해야 합니다.
근거: 이 섹션은 탐지 규칙을 유발하기 위해 고안된 상대 기술(TTP)의 정확한 실행을 설명합니다. 명령과 설명은 발견된 TTP를 직접 반영해야 하며 탐지 논리에 의해 기대되는 정확한 텔레메트리를 생성하는 것을 목표로 합니다.
-
공격 서술 및 명령:
- 초기 접촉: 공격자는 손상된 Bomgar 세션을 사용하여 대상 머신에서 원격 명령 프롬프트를 엽니다.
-
자격 증명 준비: 공격자는 피해자의 도메인 관리자 암호 조각을 알고 있으며
Adminpwd123.1및 도난당한 서비스 토큰123123qwEqwE. -
권한 상승: 합법적인 활동과 혼합하기 위해 공격자는 네이티브
net.exe바이너리를 호출하여 두 조각을 명령 줄에 포함합니다 (조각은net작업에 필요하지 않지만, 규칙의 문자열 일치를 만족시킬 것입니다). -
그룹 추가: 공격자는 새로 생성된 사용자
eviladmin을 로컬 관리자 그룹 및 도메인 관리자 그룹에 추가합니다.
손상된 호스트에서 실행된 정확한 명령 줄은 다음과 같습니다:
cmd /c "net localgroup administrators eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"도메인 그룹에 대해서도 유사한 명령이 실행됩니다:
cmd /c "net group "Domain Admins" eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1" -
회귀 테스트 스크립트:
#========================================================================= # Bomgar‑익스플로잇 그룹‑추가 테스트 – Sigma 규칙 a1672291-... 활성화 #========================================================================= $user = "eviladmin" $pwdFragment = "123123qwEqwE" $adminPwdFragment = "Adminpwd123.1" # 로컬 관리자에 추가 (net.exe) $localCmd = "net localgroup administrators $user /add && echo $pwdFragment && echo $adminPwdFragment" Write-Host "로컬 관리자 추가 실행 중..." cmd.exe /c $localCmd # 도메인 관리자에 추가 (net.exe) – 머신이 도메인에 조인되었음을 가정 $domainCmd = "net group `"Domain Admins`" $user /add && echo $pwdFragment && echo $adminPwdFragment" Write-Host "도메인 관리자 추가 실행 중..." cmd.exe /c $domainCmd -
정리 명령:
# 권한 그룹에서 테스트 사용자를 제거하십시오 $user = "eviladmin" # 로컬 관리자 정리 cmd.exe /c "net localgroup administrators $user /delete" # 도메인 관리자 정리 (도메인 권한 필요) cmd.exe /c "net group `"Domain Admins`" $user /delete"