Ragnar Loader: Bộ công cụ độc hại tiên tiến

08/03/2025
2 mins read
Nội dung
Tài liệu về Ragnar Loader
1. Tổng quan về Ragnar Loader
2. Chức năng cốt lõi
3. Tính năng và kỹ thuật
4. Sử dụng và phân phối
5. Tính chất luôn phát triển

Tài liệu về Ragnar Loader

Bài viết thảo luận về việc sử dụng Ragnar Loader bởi các nhóm tội phạm mạng và ransomware khác nhau, bao gồm FIN7, FIN8 và Ragnar Locker (còn được biết đến là Monstrous Mantis). Dưới đây là những điểm chính:

1. Tổng quan về Ragnar Loader

  • Ragnar Loader, còn được gọi là Sardonic, là một bộ công cụ phần mềm độc hại tinh vi và đang phát triển, được sử dụng bởi nhiều nhóm tội phạm mạng.
  • Nó lần đầu tiên được Bitdefender ghi nhận vào tháng 8 năm 2021 trong mối liên hệ với một cuộc tấn công không thành công của FIN8 vào một tổ chức tài chính của Hoa Kỳ.

2. Chức năng cốt lõi

  • Phần mềm độc hại này thiết lập các vị trí lâu dài trong các môi trường mục tiêu, sử dụng các kỹ thuật để né tránh bị phát hiện và đảm bảo khả năng hoạt động.
  • Nó sử dụng các payload dựa trên PowerShell để thực thi, kết hợp các phương pháp mã hóa mạnh (bao gồm RC4 và Base64), và sử dụng các chiến lược tiêm quy trình tinh vi để kiểm soát stealthy các hệ thống bị xâm phạm.

3. Tính năng và kỹ thuật

  • Kỹ thuật chống phân tích: Phần mềm độc hại tích hợp nhiều kỹ thuật chống phân tích để ngăn cản việc phát hiện và làm mờ logic điều khiển.
  • Hoạt động Backdoor: Nó thực hiện nhiều hoạt động backdoor bằng cách chạy các plugin DLL và shellcode, cũng như đọc và exfiltrating nội dung của các tệp tùy ý.
  • Di chuyển bên trong: Nó sử dụng một tệp pivoting dựa trên PowerShell khác để cho phép di chuyển bên trong một mạng lưới.
  • Kết nối từ xa: Một tệp ELF executable trên Linux có tên là bc hỗ trợ các kết nối từ xa, cho phép kẻ thù khởi động và thực thi các lệnh dòng lệnh trực tiếp trên hệ thống bị xâm phạm.

4. Sử dụng và phân phối

  • Phần mềm độc hại này được cung cấp cho các chi nhánh dưới hình thức gói tệp lưu trữ chứa nhiều thành phần để tạo điều kiện cho reverse shell, leo thang đặc quyền cục bộ và truy cập remote desktop.
  • Nó được thiết kế để thiết lập liên lạc với kẻ tấn công, cho phép họ điều khiển từ xa hệ thống bị nhiễm thông qua một bảng điều khiển kiểm soát (C2).

5. Tính chất luôn phát triển

  • Các nhà phát triển của Ragnar Loader liên tục bổ sung các tính năng mới, làm cho nó trở nên module hơn và khó phát hiện hơn.

Bộ công cụ phần mềm độc hại này là một mối đe dọa đáng kể do khả năng tiên tiến của nó và sự đa dạng của các nhóm đang sử dụng nó cho quyền truy cập liên tục và các hoạt động độc hại.

Nguồn: https://thehackernews.com/2025/03/fin7-fin8-and-others-use-ragnar-loader.html

Tags