Alerta de Ameaça: Atacantes Intensificam Exploração do Bomgar RMM
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
A Huntress relatou um aumento nos ataques abusando de instâncias comprometidas de monitoramento remoto e gerenciamento Bomgar após a divulgação pública do CVE-2026-1731. Agentes de ameaça usaram a falha para executar código remotamente, criar contas de alto privilégio e implantar software de acesso remoto adicional e ransomware. Em vários casos, a atividade levou à implantação do ransomware LockBit, juntamente com ferramentas como AnyDesk e Atera. A campanha afetou tanto clientes diretos da Bomgar quanto as organizações downstream que eles apoiam.
Investigação
O SOC da Huntress rastreou múltiplos incidentes entre fevereiro e abril de 2026 e identificou atividade maliciosa ligada a bomgar-scc.exe, com atacantes utilizando sessões RMM sequestradas para lançar ferramentas incluindo NetScan, HRSword e drivers customizados. Os intrusos criaram novas contas de administrador locais e de domínio, instalaram agentes RMM secundários e executaram o payload do ransomware LockBit LB3.exe. Os investigadores também encontraram sinais de uso da builder do LockBit 3.0 vazada e técnicas de levar seu próprio driver vulnerável dentro dos ambientes afetados.
Mitigação
As organizações devem aplicar os patches oficiais do BeyondTrust Remote Support que abordam o CVE-2026-1731 e atualizar os sistemas afetados para a versão 25.3.2 ou posterior. As equipes de segurança também devem monitorar a criação inesperada de contas privilegiadas, execução de ferramentas RMM não autorizadas, tarefas agendadas suspeitas e instalações de drivers incomuns. Controles de acesso fortes e uma supervisão mais rigorosa das plataformas RMM são essenciais para reduzir o risco de comprometimentos semelhantes.
Resposta
Se esta atividade for detectada, isole imediatamente os sistemas impactados, revogue quaisquer credenciais Bomgar comprometidas e remova ferramentas de gerenciamento remoto não autorizadas do ambiente. Os respondedores de incidentes devem então realizar uma análise forense para identificar payloads de ransomware, mecanismos de persistência e qualquer movimento lateral. Os esforços de recuperação devem contar com backups limpos, enquanto os clientes downstream devem ser notificados prontamente para que a remediação coordenada e o endurecimento possam começar.
Fluxo de Ataque
Detecções
Adicionar Usuário aos Administradores Locais (via cmdline)
Vizualizar
Execução Suspeita do Diretório PerfLogs (via criação de processo)
Vizualizar
Software de Acesso / Gerenciamento Remoto Alternativo (via criação de processo)
Vizualizar
Software de Acesso / Gerenciamento Remoto Alternativo (via sistema)
Vizualizar
Software de Acesso / Gerenciamento Remoto Alternativo (via auditoria)
Vizualizar
IOCs (HashSha256) para detectar: Alerta de Ameaça: Aumento na Exploração do RMM Bomgar
Vizualizar
IOCs (SourceIP) para detectar: Alerta de Ameaça: Aumento na Exploração do RMM Bomgar
Vizualizar
IOCs (DestinationIP) para detectar: Alerta de Ameaça: Aumento na Exploração do RMM Bomgar
Vizualizar
Detectar Adição de Usuário aos Grupos de Admin via Exploração Bomgar [Log de Eventos de Segurança do Microsoft Windows]
Vizualizar
Detecção de Processos Maliciosos em Instâncias RMM Bomgar Comprometidas [Criação de Processo Windows]
Vizualizar
Execução de Simulação
Pré-requisito: O Check Pré-voo de Telemetria & Baseamento deve ter sido aprovado.
Justificação: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente as TTPs identificadas e objetivam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa do Ataque & Comandos:
- Primeiro acesso: O atacante usa uma sessão Bomgar comprometida para abrir um prompt de comando remoto na máquina alvo.
- Preparação de credenciais: O atacante conhece o fragmento da senha de admin de domínio da vítima
Adminpwd123.1e um token de serviço roubado123123qwEqwE. - Escalação de privilégios: Para se misturar com atividade legítima, o atacante invoca o
binário nativo net.exe, incorporando os dois fragmentos na linha de comando (os fragmentos não são necessários para a operação, mas satisfazem a correspondência de cadeia da regra).netoperation but will satisfy the rule’s string match). - Adição ao grupo: O atacante adiciona um usuário recém-criado
eviladmintanto ao grupo de Administradores locais quanto ao grupo de Admins de Domínio.
A linha de comando exata executada no host comprometido é:
cmd /c "net localgroup administrators eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"Um comando semelhante é executado para o grupo de domínio:
cmd /c "net group "Domain Admins" eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1" -
Script de Teste de Regressão:
#========================================================================= # Teste de adição a grupos por exploração Bomgar – ativa a regra Sigma a1672291-... #========================================================================= $user = "eviladmin" $pwdFragment = "123123qwEqwE" $adminPwdFragment = "Adminpwd123.1" # Adicionar aos Administradores Locais (net.exe) $localCmd = "net localgroup administrators $user /add && echo $pwdFragment && echo $adminPwdFragment" Write-Host "Executando adição de admin local..." cmd.exe /c $localCmd # Adicionar aos Admins de Domínio (net.exe) – supõe que a máquina está no domínio $domainCmd = "net group `"Domain Admins`" $user /add && echo $pwdFragment && echo $adminPwdFragment" Write-Host "Executando adição de admin de domínio..." cmd.exe /c $domainCmd -
Comandos de Limpeza:
# Remover o usuário de teste dos grupos privilegiados $user = "eviladmin" # Limpeza de Administradores Locais cmd.exe /c "net localgroup administrators $user /delete" # Limpeza de Admins de Domínio (requer direitos de domínio) cmd.exe /c "net group `"Domain Admins`" $user /delete"