SOC Prime Bias: Crítico

22 Apr 2026 05:32 UTC

Alerta de Ameaça: Atacantes Intensificam Exploração do Bomgar RMM

Author Photo
SOC Prime Team linkedin icon Seguir
Alerta de Ameaça: Atacantes Intensificam Exploração do Bomgar RMM
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

A Huntress relatou um aumento nos ataques abusando de instâncias comprometidas de monitoramento remoto e gerenciamento Bomgar após a divulgação pública do CVE-2026-1731. Agentes de ameaça usaram a falha para executar código remotamente, criar contas de alto privilégio e implantar software de acesso remoto adicional e ransomware. Em vários casos, a atividade levou à implantação do ransomware LockBit, juntamente com ferramentas como AnyDesk e Atera. A campanha afetou tanto clientes diretos da Bomgar quanto as organizações downstream que eles apoiam.

Investigação

O SOC da Huntress rastreou múltiplos incidentes entre fevereiro e abril de 2026 e identificou atividade maliciosa ligada a bomgar-scc.exe, com atacantes utilizando sessões RMM sequestradas para lançar ferramentas incluindo NetScan, HRSword e drivers customizados. Os intrusos criaram novas contas de administrador locais e de domínio, instalaram agentes RMM secundários e executaram o payload do ransomware LockBit LB3.exe. Os investigadores também encontraram sinais de uso da builder do LockBit 3.0 vazada e técnicas de levar seu próprio driver vulnerável dentro dos ambientes afetados.

Mitigação

As organizações devem aplicar os patches oficiais do BeyondTrust Remote Support que abordam o CVE-2026-1731 e atualizar os sistemas afetados para a versão 25.3.2 ou posterior. As equipes de segurança também devem monitorar a criação inesperada de contas privilegiadas, execução de ferramentas RMM não autorizadas, tarefas agendadas suspeitas e instalações de drivers incomuns. Controles de acesso fortes e uma supervisão mais rigorosa das plataformas RMM são essenciais para reduzir o risco de comprometimentos semelhantes.

Resposta

Se esta atividade for detectada, isole imediatamente os sistemas impactados, revogue quaisquer credenciais Bomgar comprometidas e remova ferramentas de gerenciamento remoto não autorizadas do ambiente. Os respondedores de incidentes devem então realizar uma análise forense para identificar payloads de ransomware, mecanismos de persistência e qualquer movimento lateral. Os esforços de recuperação devem contar com backups limpos, enquanto os clientes downstream devem ser notificados prontamente para que a remediação coordenada e o endurecimento possam começar.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check Pré-voo de Telemetria & Baseamento deve ter sido aprovado.

Justificação: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente as TTPs identificadas e objetivam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa do Ataque & Comandos:

    1. Primeiro acesso: O atacante usa uma sessão Bomgar comprometida para abrir um prompt de comando remoto na máquina alvo.
    2. Preparação de credenciais: O atacante conhece o fragmento da senha de admin de domínio da vítima Adminpwd123.1 e um token de serviço roubado 123123qwEqwE.
    3. Escalação de privilégios: Para se misturar com atividade legítima, o atacante invoca o binário nativo net.exe , incorporando os dois fragmentos na linha de comando (os fragmentos não são necessários para a operação, mas satisfazem a correspondência de cadeia da regra). net operation but will satisfy the rule’s string match).
    4. Adição ao grupo: O atacante adiciona um usuário recém-criado eviladmin tanto ao grupo de Administradores locais quanto ao grupo de Admins de Domínio.

    A linha de comando exata executada no host comprometido é:

    cmd /c "net localgroup administrators eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"

    Um comando semelhante é executado para o grupo de domínio:

    cmd /c "net group "Domain Admins" eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"
  • Script de Teste de Regressão:

    #=========================================================================
    # Teste de adição a grupos por exploração Bomgar – ativa a regra Sigma a1672291-...
    #=========================================================================
    $user = "eviladmin"
    $pwdFragment = "123123qwEqwE"
    $adminPwdFragment = "Adminpwd123.1"
    
    # Adicionar aos Administradores Locais (net.exe)
    $localCmd = "net localgroup administrators $user /add && echo $pwdFragment && echo $adminPwdFragment"
    Write-Host "Executando adição de admin local..."
    cmd.exe /c $localCmd
    
    # Adicionar aos Admins de Domínio (net.exe) – supõe que a máquina está no domínio
    $domainCmd = "net group `"Domain Admins`" $user /add && echo $pwdFragment && echo $adminPwdFragment"
    Write-Host "Executando adição de admin de domínio..."
    cmd.exe /c $domainCmd
  • Comandos de Limpeza:

    # Remover o usuário de teste dos grupos privilegiados
    $user = "eviladmin"
    
    # Limpeza de Administradores Locais
    cmd.exe /c "net localgroup administrators $user /delete"
    
    # Limpeza de Admins de Domínio (requer direitos de domínio)
    cmd.exe /c "net group `"Domain Admins`" $user /delete"