Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
A Huntress relatou um aumento nos ataques abusando de instâncias comprometidas de monitoramento remoto e gerenciamento Bomgar após a divulgação pública do CVE-2026-1731. Agentes de ameaça usaram a falha para executar código remotamente, criar contas de alto privilégio e implantar software de acesso remoto adicional e ransomware. Em vários casos, a atividade levou à implantação do ransomware LockBit, juntamente com ferramentas como AnyDesk e Atera. A campanha afetou tanto clientes diretos da Bomgar quanto as organizações downstream que eles apoiam.
Investigação
O SOC da Huntress rastreou múltiplos incidentes entre fevereiro e abril de 2026 e identificou atividade maliciosa ligada a bomgar-scc.exe, com atacantes utilizando sessões RMM sequestradas para lançar ferramentas incluindo NetScan, HRSword e drivers customizados. Os intrusos criaram novas contas de administrador locais e de domínio, instalaram agentes RMM secundários e executaram o payload do ransomware LockBit LB3.exe. Os investigadores também encontraram sinais de uso da builder do LockBit 3.0 vazada e técnicas de levar seu próprio driver vulnerável dentro dos ambientes afetados.
Mitigação
As organizações devem aplicar os patches oficiais do BeyondTrust Remote Support que abordam o CVE-2026-1731 e atualizar os sistemas afetados para a versão 25.3.2 ou posterior. As equipes de segurança também devem monitorar a criação inesperada de contas privilegiadas, execução de ferramentas RMM não autorizadas, tarefas agendadas suspeitas e instalações de drivers incomuns. Controles de acesso fortes e uma supervisão mais rigorosa das plataformas RMM são essenciais para reduzir o risco de comprometimentos semelhantes.
Resposta
Se esta atividade for detectada, isole imediatamente os sistemas impactados, revogue quaisquer credenciais Bomgar comprometidas e remova ferramentas de gerenciamento remoto não autorizadas do ambiente. Os respondedores de incidentes devem então realizar uma análise forense para identificar payloads de ransomware, mecanismos de persistência e qualquer movimento lateral. Os esforços de recuperação devem contar com backups limpos, enquanto os clientes downstream devem ser notificados prontamente para que a remediação coordenada e o endurecimento possam começar.
graph TB classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef driver fill:#ffddaa classDef account fill:#ccccff classDef system fill:#dddddd initial_access[“<b>Acesso Inicial</b> – <b>T1210 Exploração de Serviços Remotos</b><br/>Vulnerabilidade não autenticada CVE-2026-1731 no Bomgar (BeyondTrust Remote Support) permite execução de código.”]:::action tool_bomgar[“<b>Ferramenta</b> – <b>Nome</b>: Bomgar Remote Support<br/><b>Vulnerabilidade</b>: CVE-2026-1731”]:::tool execution_proxy[“<b>Execução</b> – <b>T1218 Execução Proxy de Binários do Sistema</b><br/>Binário assinado HRSword.exe usado como proxy para iniciar o payload malicioso LB3.exe.”]:::action execution_script[“<b>Execução</b> – <b>T1216 Execução Proxy de Script do Sistema</b>”]:::action tool_hrsword[“<b>Ferramenta</b> – <b>Nome</b>: HRSword.exe<br/><b>Assinado</b>: Sim (subversão de assinatura de código)”]:::tool malware_lb3[“<b>Malware</b> – <b>Nome</b>: LB3.exe (variante LockBit)<br/><b>Propósito</b>: Criptografia ransomware”]:::malware subvert_trust[“<b>Subtécnica</b> – <b>T1553.002 Assinatura de Código</b><br/>Assinaturas válidas usadas para subverter controles de confiança.”]:::action masquerade[“<b>Subtécnica</b> – <b>T1036.001 Mascaramento com Assinatura Inválida</b><br/>O binário parece legítimo apesar da intenção maliciosa.”]:::action trusted_proxy[“<b>Subtécnica</b> – <b>T1127 Execução Proxy de Utilitários de Desenvolvimento Confiáveis</b><br/>Drivers atuam como proxy para código malicioso.”]:::action device_discovery[“<b>Subtécnica</b> – <b>T1652 Descoberta de Drivers de Dispositivo</b><br/>Identificar drivers carregados no sistema.”]:::action persistence_local_account[“<b>Persistência</b> – <b>T1136.001 Criar Conta: Local</b><br/>Conta local \”Adminpwd123.1\” criada.”]:::action persistence_domain_account[“<b>Persistência</b> – <b>T1136.002 Criar Conta: Domínio</b><br/>Conta de domínio \”123123qwEqwE\” criada.”]:::action valid_account_local[“<b>Contas Válidas</b> – <b>T1078.003 Contas Locais</b>”]:::account valid_account_domain[“<b>Contas Válidas</b> – <b>T1078.002 Contas de Domínio</b>”]:::account account_manipulation[“<b>Escalada de Privilégios</b> – <b>T1098.007 Grupos Locais ou de Domínio Adicionais</b><br/>Contas adicionadas aos grupos Administradores e Domain Admins.”]:::action defense_impair[“<b>Evasão de Defesa</b> – <b>T1562 Comprometer Defesas</b><br/>Drivers maliciosos instalados para encerrar soluções EDR.”]:::action driver_poisonx[“<b>Driver</b> – <b>Nome</b>: PoisonX.sys<br/><b>Função</b>: Desativa monitoramento de segurança.”]:::driver driver_hrwfpdrv[“<b>Driver</b> – <b>Nome</b>: hrwfpdrv.sys<br/><b>Função</b>: Desativa monitoramento de segurança.”]:::driver lateral_ssh[“<b>Movimento Lateral</b> – <b>T1021.004 Serviços Remotos: SSH</b><br/>Shell comprometido do Bomgar (SYSTEM) usado para executar comandos em hosts adicionais.”]:::action remote_services[“<b>Movimento Lateral</b> – <b>T1021 Serviços Remotos</b>”]:::action tool_anydesk[“<b>Ferramenta</b> – <b>Nome</b>: AnyDesk”]:::tool tool_atera[“<b>Ferramenta</b> – <b>Nome</b>: Atera<br/><b>Instalação</b>: msiexec C:\\PerfLogs\\setup.msi, tarefa agendada AteraAgentServiceWatchdog”]:::tool tool_screenconnect[“<b>Ferramenta</b> – <b>Nome</b>: ScreenConnect Client<br/><b>Caminho</b>: C:\\Program Files (x86)\\ScreenConnect Client”]:::tool discovery_groups[“<b>Descoberta</b> – <b>T1069.002 Descoberta de Grupos de Permissão: Grupos de Domínio</b><br/>Enumerar grupos de domínio e associações.”]:::action discovery_network[“<b>Descoberta</b> – <b>T1590 Coletar Informações da Rede da Vítima</b><br/>NetScan e nltest.exe usados para enumeração de rede.”]:::action impact_encryption[“<b>Impacto</b> – <b>T1486 Dados Criptografados para Impacto</b><br/>LockBit criptografa arquivos em endpoints comprometidos.”]:::action impact_financial[“<b>Impacto</b> – <b>T1657 Roubo Financeiro</b><br/>Nota de resgate com endereço onionmail fornecida para pagamento.”]:::action initial_access –>|exploits| tool_bomgar tool_bomgar –>|provides access to| execution_proxy execution_proxy –>|uses| tool_hrsword tool_hrsword –>|launches| malware_lb3 malware_lb3 –>|performs| impact_encryption execution_proxy –>|subverts trust via| subvert_trust execution_proxy –>|masquerades as| masquerade execution_proxy –>|leverages| trusted_proxy subvert_trust –>|enables creation of| persistence_local_account subvert_trust –>|enables creation of| persistence_domain_account persistence_local_account –>|creates| valid_account_local persistence_domain_account –>|creates| valid_account_domain valid_account_local –>|added to| account_manipulation valid_account_domain –>|added to| account_manipulation account_manipulation –>|grants| lateral_ssh defense_impair –>|installs| driver_poisonx defense_impair –>|installs| driver_hrwfpdrv driver_poisonx –>|disables| tool_anydesk driver_hrwfpdrv –>|disables| tool_atera lateral_ssh –>|uses| remote_services remote_services –>|deploys| tool_anydesk remote_services –>|deploys| tool_atera remote_services –>|deploys| tool_screenconnect discovery_groups –>|feeds information to| lateral_ssh discovery_network –>|feeds information to| lateral_ssh impact_encryption –>|leads to| impact_financial
Fluxo de Ataque
Detecções
Adicionar Usuário aos Administradores Locais (via cmdline)
Vizualizar
Execução Suspeita do Diretório PerfLogs (via criação de processo)
Vizualizar
Software de Acesso / Gerenciamento Remoto Alternativo (via criação de processo)
Vizualizar
Software de Acesso / Gerenciamento Remoto Alternativo (via sistema)
Vizualizar
Software de Acesso / Gerenciamento Remoto Alternativo (via auditoria)
Vizualizar
IOCs (HashSha256) para detectar: Alerta de Ameaça: Aumento na Exploração do RMM Bomgar
Vizualizar
IOCs (SourceIP) para detectar: Alerta de Ameaça: Aumento na Exploração do RMM Bomgar
Vizualizar
IOCs (DestinationIP) para detectar: Alerta de Ameaça: Aumento na Exploração do RMM Bomgar
Vizualizar
Detectar Adição de Usuário aos Grupos de Admin via Exploração Bomgar [Log de Eventos de Segurança do Microsoft Windows]
Vizualizar
Detecção de Processos Maliciosos em Instâncias RMM Bomgar Comprometidas [Criação de Processo Windows]
Vizualizar
Execução de Simulação
Pré-requisito: O Check Pré-voo de Telemetria & Baseamento deve ter sido aprovado.
Justificação: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente as TTPs identificadas e objetivam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa do Ataque & Comandos:
- Primeiro acesso: O atacante usa uma sessão Bomgar comprometida para abrir um prompt de comando remoto na máquina alvo.
- Preparação de credenciais: O atacante conhece o fragmento da senha de admin de domínio da vítima
Adminpwd123.1e um token de serviço roubado123123qwEqwE. - Escalação de privilégios: Para se misturar com atividade legítima, o atacante invoca o
binário nativo net.exe, incorporando os dois fragmentos na linha de comando (os fragmentos não são necessários para a operação, mas satisfazem a correspondência de cadeia da regra).netoperation but will satisfy the rule’s string match). - Adição ao grupo: O atacante adiciona um usuário recém-criado
eviladmintanto ao grupo de Administradores locais quanto ao grupo de Admins de Domínio.
A linha de comando exata executada no host comprometido é:
cmd /c "net localgroup administrators eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"Um comando semelhante é executado para o grupo de domínio:
cmd /c "net group "Domain Admins" eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1" -
Script de Teste de Regressão:
#========================================================================= # Teste de adição a grupos por exploração Bomgar – ativa a regra Sigma a1672291-... #========================================================================= $user = "eviladmin" $pwdFragment = "123123qwEqwE" $adminPwdFragment = "Adminpwd123.1" # Adicionar aos Administradores Locais (net.exe) $localCmd = "net localgroup administrators $user /add && echo $pwdFragment && echo $adminPwdFragment" Write-Host "Executando adição de admin local..." cmd.exe /c $localCmd # Adicionar aos Admins de Domínio (net.exe) – supõe que a máquina está no domínio $domainCmd = "net group `"Domain Admins`" $user /add && echo $pwdFragment && echo $adminPwdFragment" Write-Host "Executando adição de admin de domínio..." cmd.exe /c $domainCmd -
Comandos de Limpeza:
# Remover o usuário de teste dos grupos privilegiados $user = "eviladmin" # Limpeza de Administradores Locais cmd.exe /c "net localgroup administrators $user /delete" # Limpeza de Admins de Domínio (requer direitos de domínio) cmd.exe /c "net group `"Domain Admins`" $user /delete"