出典:Art Partner Images via Alamy Stock Photo
Bomgar リモート監視・管理 (RMM) インスタンスを悪用したサイバー攻撃の新たな波が、過去2週間でさまざまな組織とそのお客様を襲っており、パッチが適用されていないシステムへのさらなる攻撃がサプライチェーンに急速な下流効果をもたらす可能性があることへの懸念が高まっています。
Huntress セキュリティオペレーションセンター (SOC) の研究者らは、Bomgar Remote Support (現在は BeyondTrust の一部) を対象とした悪用活動の「急激な増加」を観察しており、攻撃者は重大な認証不要なリモートコード実行 (RCE) の欠陥を通じてシステムにアクセスしています。CVE-2026-1731、チームの最近のブログ記事によると。
「Bomgar 関連インシデントのこの最新の急増は、初期の攻撃波に続くもので、SOC が 2月に観察した時点での CVE-2026-1731 が最初に公開されました。」と Huntress の戦術対応アナリスト Josh Allman はこのポストで書いています。BeyondTrust Remote Support およびベンダーの古いバージョンの Privileged Remote Access (PRA) の欠陥により、認証されていない攻撃者は任意のオペレーティング システム コマンドをリモートで実行できるリクエストを作成できます。
「王国の鍵」
最近の一連の攻撃は、攻撃者が初期侵害を利用して他の組織に移動し、サプライチェーン全体に急速に広がる方法を示しています。例えば、4月3日の攻撃は歯科ソフトウェア会社を侵害し、3社の下流企業に影響を与えました。4月15日の別の攻撃は、管理サービスプロバイダー (MSP) に影響を与えました。「78社の大量隔離と4社の下流顧客全体での後続搾取につながった」と Allman は書いています。
「RMM アプライアンスを実行しているサーバをターゲットにすることは、街の鍵を手に入れることのようなもの。」と彼は Dark Reading にメールで述べています。「このアップストリーム サーバへのアクセスを取得すると、攻撃者はすべてのダウンストリーム クライアントにアクセスできます。」これは、ソフトウェア ベンダーのサポート クライアントまたは IT プロバイダーのクライアントである場合に特に危険です。なぜなら、単にサーバを悪用するだけで、攻撃者は複数の組織全体で数百、場合によっては数千のクライアントにアクセスできるからです。Allman は追加しました。
一部のインシデントは LockBit ランサムウェアの展開を伴い、他のインシデントでは攻撃者は偵察、特権昇格、AnyDesk や Atera などの他の RMM の実行、およびその他の悪意のある活動に従事しました。ランサムウェアの展開では、Huntress は脅威アクターが以前にリークされた LockBit 3.0 ビルダーを使用していると考えています。Allman はレポートで述べました。
攻撃下の RMM
全体的に、最近のインシデントは、脅威アクターが従来のマルウェアを使用するのではなく、RMM の悪用への継続的なシフトを示しています。この種のツールの侵害は、企業環境でほぼユビキタスなツールであり、組織だけでなく、顧客およびパートナーへの横移動のための攻撃をさらに移動するための、ステルスで効率的な方法を彼らに提供します。
Huntress は過去2週間で Bomgar RMM インスタンスを攻撃する5つの最近のインシデントを観察しました。4月3日の永続化のために Atera を削除したインシデントから始まります。4月5日の別の攻撃も、永続化のために RMM — AnyDesk を使用し、列挙活動を実行し、ユーザーをローカル/ドメイン管理者グループに追加しました。
4月12日の攻撃は、LockBit ランサムウェアを展開する最近のこれらの攻撃の最初のもので、アナリストは「エンドポイントへのアクセスを取得するために使用されている不正な Bomgar RMM インスタンスを観察し、その結果、ネットワークで成功したランサムウェアの実行につながった」と Allman は書いています。「ここでは、脅威アクターが不正な RMM インスタンスを使用して新しいユーザーを作成し、ローカル管理者グループに追加するのも見ました。」と彼は追加しました。
4月14日には2つの別の攻撃がありました。脅威アクターは両方で RMM を展開しました — 一方は AnyDesk で、もう一方は Atera です。両方の攻撃も、脅威アクターがユーザーを管理者グループに追加する様子を見ました。ネットワーク上の永続化の証拠を指摘します。Allman は指摘しました。AnyDesk を使用した攻撃も展開されました。LockBit ランサムウェア。
全体的に、Huntress によると、攻撃は MSP 環境内の高特権 Bomgar アカウントをターゲットにして、アクセス ツールをドメイン コントローラーに直接プッシュする、アクターのパターンを示しました。そこから、彼らは自分自身を確立し、最小限の抵抗でカスタマー ネットワークに横方向に拡張できます。
ディフェンダーの皆様、今すぐ行動してください
攻撃エントリ ポイントが既知の脆弱性であり、インシデントが継続中であることを考えると、組織が脆弱なシステムにパッチを適用することがいかに重要であるかを改めて示しており、これは Huntress が侵害を避けるために行った最初の推奨事項です。そして、攻撃者による RMM の悪用への最近の関心の高まり — 特にランサムウェアの展開のために — これらのシステムにパッチを適用することは特に重要です。
そして、Huntress が報告書で明らかにしなかった攻撃の背後に誰がいるのかは不明ですが、以前の関連性Lockbit ランサムウェア ギャングと被害者ネットワークでの足がかりを広げるための RMM の使用の間に。数年前、LockBit 関連会社による一連の攻撃は、公開されている RMM インスタンスを利用するか、被害者ネットワークでグループの足がかりを確固たるものにするために攻撃中に独自の RMM を使用しました。これらの攻撃はまた、脅威アクターがマルウェアを回避し、RMM ツールまたはその他の land (LotL) 戦術からのライブの使用を使用して、セキュリティ専門家とアナリストが悪意のある活動を検出することを困難にする方法を示しました。
Huntress によると、これは、ディフェンダーが自分たちの環境で正当な RMM の悪意のある使用に関連する疑わしい活動を綿密に監視するための別の理由です。これを行うための他の方法は、不正な管理者アカウント、予期しないRMM ツール展開を監視し、Bomgar プロセスに関連する疑わしい活動を調査することです。Huntress はまた、その SOC が観察した攻撃で使用される、さまざまな実行可能ファイルを含む、セキュリティ侵害 (IOC) の指標のリストを含めました。これにより、ディフェンダーが影響を受けているかどうかを分析し、緩和を実施する必要があるかどうかを支援します。
