Tehdit avcıları “sofistike ve gelişen kötü amaçlı yazılım araç seti” adlı ışık tuttular Ragnar yükleyici Bu, Ragnar Locker (AKA Monstrous Mantis), Fin7, Fin8 ve Ruthless Mantis (Ex-Revil) gibi çeşitli siber suç ve fidye yazılımı grupları tarafından kullanılır.
Hacker News ile paylaşılan bir açıklamada, “Ragnar Loader, tehlikeye atılan sistemlere erişim, saldırganların uzun vadeli operasyonlar için ağlarda kalmasına yardımcı olmada önemli bir rol oynuyor.” Dedi.
“Ragnar Locker Grubu ile bağlantılı olsa da, sahip olup olmadıkları veya sadece başkalarına kiralayıp kiralamadıkları belirsiz. Bildiğimiz şey, geliştiricilerinin sürekli olarak yeni özellikler eklediği ve tespit edilmesini daha modüler ve daha zor hale getirmeleri.”
Sardonic olarak da adlandırılan Ragnar Loader, ilk olarak Ağustos 2021’de Bitdefender tarafından Fin8 tarafından 2020’den beri kullanıldığı söylenen isimsiz bir finans kurumunu amaçlayan başarısız bir saldırı ile bağlantılı olarak belgelendi.
Daha sonra Temmuz 2023’te, Broadcom’a ait Symantec, Fin8’in şu anda yok olan Blackcat Ransomware’i sunmak için arka kapının güncellenmiş bir versiyonunu kullandığını açıkladı.
Ragnar yükleyicinin temel işlevselliği, hedeflenen ortamlarda uzun süreli dayanaklar oluşturma yeteneğidir ve tespiti önlemek ve operasyonel esnekliği sağlamak için bir teknik cephanelik kullanır.
Prodft, “Kötü amaçlı yazılım, yürütme için PowerShell tabanlı yükler kullanıyor, operasyonlarını gizlemek için güçlü şifreleme ve kodlama yöntemlerini (RC4 ve Base64 dahil) dahil ediyor ve tehlikeye atılan sistemler üzerinde gizli kontrol oluşturmak ve sürdürmek için sofistike süreç enjeksiyon stratejileri kullanıyor.”
“Bu özellikler, hedeflenen ortamlarda algılama ve devam etme yeteneğini toplu olarak geliştirir.”
Kötü amaçlı yazılım, bağlı kuruluşlara, ters kabuk, yerel ayrıcalık artışını ve uzak masaüstü erişimini kolaylaştırmak için birden fazla bileşen içeren bir arşiv dosya paketi şeklinde sunulmaktadır. Ayrıca, tehdit oyuncusu ile iletişim kurmak için tasarlanmıştır ve enfekte olmuş sistemi bir komut ve kontrol (C2) paneli aracılığıyla uzaktan kontrol etmelerini sağlar.
Tipik olarak PowerShell kullanılarak kurban sistemlerinde yürütülen Ragnar Loader, tespit ve kontrol akışı mantığına direnmek için bir dizi anti-analiz teknikini entegre eder.
Ayrıca, DLL eklentilerini ve kabuk kodunu çalıştırarak çeşitli arka kapı işlemlerini yürütme ve keyfi dosyaların içeriğini okuma ve eksfiltrat eder. Bir ağdaki yan hareketi etkinleştirmek için, başka bir PowerShell tabanlı pivotlama dosyasını kullanır.
Başka bir kritik bileşen, BC adlı bir Linux yürütülebilir ELF dosyasıdır ve uzak bağlantıları kolaylaştırmak için tasarlanmış, düşmanın bir başlatmasına ve doğrudan uzlaştırılmış sisteme komut satırı talimatlarını yürütmesine izin verir.
ProTaft, “PowerShell tabanlı yükler, RC4 ve Base64 şifreleme rutinleri, dinamik proses enjeksiyonu, jeton manipülasyonu ve yanal hareket yetenekleri dahil olmak üzere gelişmiş gizleme, şifreleme ve anti-analiz teknikleri kullanıyor.” Dedi. “Bu özellikler, modern fidye yazılımı ekosistemlerinin artan karmaşıklığını ve uyarlanabilirliğini örneklendiriyor.”