威胁猎人揭示了一个名为 Ragnar Loader 的“复杂且不断发展的恶意软件工具包”,该工具包被各种网络犯罪和勒索软件组织使用,例如 Ragnar Locker(又名 Monstrous Mantis)、FIN7、FIN8 和 Ruthless Mantis(前 REvil)。
“Ragnar Loader 在保持对受感染系统的访问方面发挥着关键作用,帮助攻击者留在网络中进行长期作,”瑞士网络安全公司 PRODAFT 在与 The Hacker News 分享的一份声明中表示。
“虽然它与 Ragnar Locker 集团有关,但目前尚不清楚他们是拥有它还是只是将其出租给其他人。我们所知道的是,它的开发人员不断添加新功能,使其更加模块化,更难被发现。
Ragnar Loader,也称为 Sardonic,于 2021 年 8 月由 Bitdefender 首次记录,与 FIN8 针对位于美国的一家未具名金融机构的未成功攻击有关。据说它自 2020 年以来一直投入使用。
然后在 2023 年 7 月,博通旗下的赛门铁克透露,FIN8 使用更新版本的后门来传递现已解散的 BlackCat 勒索软件。
Ragnar Loader 的核心功能是能够在目标环境中建立长期立足点,同时采用一系列技术来避开检测并确保运营弹性。
“该恶意软件利用基于 PowerShell 的有效载荷进行执行,结合强大的加密和编码方法(包括 RC4 和 Base64)来隐藏其作,并采用复杂的进程注入策略来建立和维护对受感染系统的隐蔽控制,”PRODAFT 指出。
“这些功能共同增强了其逃避检测并在目标环境中持续存在的能力。”
该恶意软件以包含多个组件的存档文件包的形式提供给附属公司,以促进反向 shell、本地权限提升和远程桌面访问。它还旨在与威胁行为者建立通信,允许他们通过命令和控制 (C2) 面板远程控制受感染的系统。
Ragnar Loader 通常使用 PowerShell 在受害者系统上执行,它集成了一系列反分析技术来抵抗检测和模糊控制流逻辑。
此外,它还能够通过运行 DLL 插件和 shellcode 以及读取和泄露任意文件的内容来执行各种后门作。为了在网络内启用横向移动,它使用另一个基于 PowerShell 的透视文件。
另一个关键组件是一个名为“bc”的 Linux 可执行 ELF 文件,该文件旨在促进远程连接,允许攻击者直接在受感染的系统上启动和执行命令行指令。
PRODAFT 告诉该出版物,“bc”类似于 QakBot 和 IcedID 等其他已知恶意软件家族中存在的 BackConnect 模块,这些模块支持与受害者的设备进行远程交互。“这是网络犯罪分子的一种常见技术,尤其是针对企业受害者,因为他们的设备通常是网络隔离的,”它说。
“它采用先进的混淆、加密和反分析技术,包括基于 PowerShell 的有效负载、RC4 和 Base64 解密例程、动态进程注入、令牌作和横向移动功能,”该公司补充道。“这些功能体现了现代勒索软件生态系统日益复杂和适应性的增强。”
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局
信息来源:https://thehackernews.com/2025/03/fin7-fin8-and-others-use-ragnar-loader.html