SOC Prime Bias: Критичний

22 Apr 2026 05:32 UTC

Консультативний звіт про загрозу: зловмисники посилюють експлуатацію Bomgar RMM

Author Photo
SOC Prime Team linkedin icon Стежити
Консультативний звіт про загрозу: зловмисники посилюють експлуатацію Bomgar RMM
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Huntress повідомила про зростання атак, що зловживають скомпрометованими екземплярами Bomgar для віддаленого моніторингу та управління після публічного розкриття CVE-2026-1731. Зловмисники використовували вразливість для віддаленого виконання коду, створення облікових записів з високими привілеями та розгортання додаткового програмного забезпечення для віддаленого доступу та програм викупу. У кількох випадках ця активність призвела до розгортання програм викупу LockBit разом із такими інструментами, як AnyDesk та Atera. Кампанія вплинула як на прямих клієнтів Bomgar, так і на підпорядковані організації, які вони обслуговують.

Розслідування

SOC Huntress відстежувала кілька інцидентів з лютого по квітень 2026 року та ідентифікувала зловмисну активність, пов’язану з bomgar-scc.exe, коли зловмисники використовували викрадені сесії RMM для запуску таких інструментів, як NetScan, HRSword та нестандартних драйверів. Зловмисники створили нові облікові записи локальних та доменних адміністраторів, встановили вторинні агенти RMM та виконали завантаження з програми викупу LockBit LB3.exe. Розслідувачі також виявили ознаки використання лічки конструктора LockBit 3.0 та технологій з вразливими драйверами у середовищах, які зазнали впливу.

Захист

Організації повинні застосувати офіційні виправлення BeyondTrust Remote Support, які вирішують CVE-2026-1731, та оновити системи до версії 25.3.2 або пізнішої. Командам безпеки слід також стежити за непередбаченим створенням облікових записів з привілеями, виконанням несанкціонованих інструментів RMM, підозрілими запланованими завданнями та незвичними встановленнями драйверів. Сильніші засоби доступу та жорсткіший контроль платформ RMM є необхідними для зменшення ризику подібних компрометацій.

Відповідь

Якщо ця активність виявлена, ізолюйте уражені системи негайно, анулюйте скомпрометовані облікові дані Bomgar та видаліть несанкціоновані засоби віддаленого управління з середовища. Відповідні особи повинні виконати судово-медичний аналіз, щоб виявити програми викупу, механізми стійкості та будь-який бічний рух. Відновлення слід проводити за допомогою чистих резервних копій, а підлеглі клієнти повинні бути повідомлені своєчасно, щоб можна було розпочати скоординовані заходи з усунення та підвищення безпеки.

Потік атаки

Виявлення

Додати користувача до локальних адміністраторів (через командний рядок)

Команда SOC Prime
21 квітня 2026

Підозріле виконання з каталогу PerfLogs (через створення процесу)

Команда SOC Prime
21 квітня 2026

Альтернативне програмне забезпечення для віддаленого доступу/управління (через створення процесу)

Команда SOC Prime
21 квітня 2026

Альтернативне програмне забезпечення для віддаленого доступу/управління (через систему)

Команда SOC Prime
21 квітня 2026

Альтернативне програмне забезпечення для віддаленого доступу/управління (через аудиту)

Команда SOC Prime
21 квітня 2026

IOC (HashSha256) для виявлення: Сповіщення загрози: Сплеск експлуатації Bomgar RMM

Правила SOC Prime AI
21 квітня 2026

IOC (SourceIP) для виявлення: Сповіщення загрози: Сплеск експлуатації Bomgar RMM

Правила SOC Prime AI
21 квітня 2026

IOC (DestinationIP) для виявлення: Сповіщення загрози: Сплеск експлуатації Bomgar RMM

Правила SOC Prime AI
21 квітня 2026

Виявлення додавання користувача до груп адміністраторів через експлуатацію Bomgar [Журнал подій безпеки Microsoft Windows]

Правила SOC Prime AI
21 квітня 2026

Виявлення зловмисних процесів у зкомпрометованих екземплярах Bomgar RMM [Створення процесу в Windows]

Правила SOC Prime AI
21 квітня 2026

Виконання симуляції

Умова: перевірка телеметрії та базової лінії повинна бути пройдена.

Розуміння: цей розділ детально описує точне виконання техніки супротивника (TTP), розробленої для запуску правила виявлення. Команди та наративи МУСЯТЬ безпосередньо відображати ідентифіковані TTP та націлені на створення очікуваної телеметрії для логіки виявлення.

  • Наратив атаки та команди:

    1. Початковий доступ: Зловмисник використовує скомпрометовану сесію Bomgar, щоб відкрити віддалену командну строку на цільовій машині.
    2. Підготовка облікових даних: Зловмисник знає фрагмент пароля доменного адміністратора жертви Adminpwd123.1 та викраденого сервісного токена 123123qwEqwE.
    3. Ескалація привілеїв: Щоб замаскувати злегітимною активністю, зловмисник запускає нативний net.exe бінарний файл, вбудовуючи обидва фрагменти у командний рядок (фрагменти не потрібні для net операції, але задовольнять правила відповідності рядків).
    4. Додавання до групи: Зловмисник додає нещодавно створеного користувача eviladmin до обох груп: Локальні адміністратори та Доменні адміністратори.

    Точний рядок команд, який виконується на скомпрометованому хості, наступний:

    cmd /c "net localgroup administrators eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"

    Подібна команда запускається для доменної групи:

    cmd /c "net group "Domain Admins" eviladmin /add && echo 123123qwEqwE && echo Adminpwd123.1"
  • Скрипт тестування регресії:

    #=========================================================================
    # Тест додавання до групи експлуатації Bomgar – тригери Sigma правила a1672291‑...
    #=========================================================================
    $user = "eviladmin"
    $pwdFragment = "123123qwEqwE"
    $adminPwdFragment = "Adminpwd123.1"
    
    # Додати до локальних адміністраторів (net.exe)
    $localCmd = "net localgroup administrators $user /add && echo $pwdFragment && echo $adminPwdFragment"
    Write-Host "Виконання додавання до локальних адміністраторів..."
    cmd.exe /c $localCmd
    
    # Додати до доменних адміністраторів (net.exe) – передбачається, що машина приєднана до домену
    $domainCmd = "net group `"Domain Admins`" $user /add && echo $pwdFragment && echo $adminPwdFragment"
    Write-Host "Виконання додавання до доменних адміністраторів..."
    cmd.exe /c $domainCmd
  • Команди очищення:

    # Видалення тестового користувача з привілейованих груп
    $user = "eviladmin"
    
    # Очищення місцевих адміністраторів
    cmd.exe /c "net localgroup administrators $user /delete"
    
    # Очищення доменних адміністраторів (вимагає прав доступу до домену)
    cmd.exe /c "net group `"Domain Admins`" $user /delete"