Центр мониторинга безопасности Huntress сообщает о новой волне инцидентов, связанных с эксплуатацией критической уязвимости в решениях для удалённого управления Bomgar (ныне BeyondTrust Remote Support). Атаки, начавшиеся в феврале 2026 года после публикации данных об уязвимости CVE-2026-1731, набрали новый оборот в апреле, приведя к масштабным компрометациям через поставщиков услуг (MSP) и развёртыванию программ-вымогателей LockBit. Инциденты демонстрируют, как одна неисправленная уязвимость в корпоративном инструменте может создать каскадные риски для целых цепочек поставок и клиентских баз.
Описание
В феврале компания BeyondTrust выпустила патчи для критической уязвимости в своих продуктах Bomgar Remote Support и Privileged Remote Access, позволяющей неаутентифицированному злоумышленнику выполнять произвольный код. Однако, как часто бывает в корпоративной среде, многие организации не успели или не смогли оперативно обновить свои системы. Специалисты Huntress зафиксировали первую волну атак уже 12 февраля, затронувшую не менее 10 организаций. Новая, более интенсивная волна началась примерно 3 апреля 2026 года. В ходе расследования эксперты Huntress обнаружили, что во всех инцидентах используются устаревшие, уязвимые версии Bomgar, а вредоносные процессы запускаются из исполняемого файла "bomgar-scc.exe".
Особую опасность представляет модель атак, при которой злоумышленники целенаправленно компрометируют системы компаний, предоставляющих услуги удалённой поддержки или являющихся управляемыми сервис-провайдерами (MSP). Взломав одну такую организацию, атакующие получают легитимный доступ ко всей клиентской базе жертвы. Яркий пример произошёл 15 апреля: компрометация учётной записи Bomgar с высокими привилегиями у одного MSP позволила злоумышленникам развернуть инструменты удалённого доступа непосредственно на контроллере домена. Это дало им точку опоры для атаки на 78 бизнесов, которые обслуживались этим провайдером. Аналогичный инцидент 14 апреля начался со взлома компании-разработчика стоматологического программного обеспечения, чьи продукты установлены у десятков клиентов, трое из которых впоследствии также были атакованы.
Техники, используемые злоумышленниками после получения доступа, довольно стандартны для продвинутых угроз, но оттого не менее эффективны. Они включают разведку домена с помощью утилит вроде "nltest.exe", создание новых учётных записей с правами администратора для закрепления в системе (persistence), а также добавление встроенных учётных записей в группы администраторов. Для расширения контроля и создания резервных каналов доступа атакующие часто устанавливают дополнительные инструменты удалённого управления, такие как AnyDesk, Atera или ScreenConnect. В некоторых случаях наблюдались попытки отключения средств защиты: так, в инциденте 12 апреля злоумышленники использовали подозрительные драйверы, включая "PoisonX.sys", который может быть связан с инструментом PoisonKiller, предназначенным для завершения процессов агентов систем обнаружения и реагирования (EDR).
Наиболее разрушительным последствием этих атак стало развёртывание программ-вымогателей семейства LockBit. В нескольких инцидентах, включая упомянутые 12 и 14 апреля, атакующие через сессию Bomgar запускали исполняемый файл "LB3.exe", что приводило к шифрованию данных на конечных точках. Примечательно, что аналитики Huntress обратили внимание на несоответствие стиля оставленных вымогателями записок классическим атакам LockBit. Одна из возможных причин - использование злоумышленниками конструктора (builder) LockBit 3.0, исходный код которого был утёк в открытый доступ ещё в 2022 году. Это позволяет менее квалифицированным группам создавать собственные варианты вредоносного ПО, имитирующие известные семейства.
Текущая ситуация служит суровым напоминанием об уязвимости экосистемы поставщиков услуг. Компрометация одного звена в цепочке доверия может привести к катастрофическим последствиям для десятков и сотен конечных организаций. Основной причиной остаётся эксплуатация известной уязвимости CVE-2026-1731, для которой патчи были выпущены более двух месяцев назад. BeyondTrust указывает, что уязвимость устранена в версиях Bomgar Remote Support 25.3.2 и выше, а также в Privileged Remote Access версии 25.1 и выше. Все более ранние версии подвержены атаке. В свете этих событий компаниям, использующим подобные решения для удалённого управления, критически важно провести аудит своих систем, убедиться в применении всех обновлений безопасности и усилить мониторинг за подозрительной активностью, связанной с созданием учётных записей и запуском удалённых сессий.
Индикаторы компрометации
IPv4
- 146.70.41.131
Emails
- lokbt9@onionmail.org
SHA256
- 3529b1422da886b7d04555340dfb1efd44a625c2921af6df39819397176956d6
- 538b3b36dd8a30e721cc8dc579098e984cf8ed30b71d55303db45c7344f7a4cf
- a5035cbd6c31616288aa66d98e5a25441ee38651fb5f330676319f921bb816a4
- b44dd12179a15a7d89c18444d36e8d70b51d30c7989d3ab71330061401f731fe
- bc9635dcc3444c18b447883c6bc1931e5373e48c7dbfaa607285a9fb668b03ea
