FIN7, FIN8 và các nhóm khác sử dụng Ragnar Loader cho hoạt động truy cập bền bỉ và tấn công ransomware.

Một bộ công cụ phần mềm độc hại tinh vi và đang phát triển” có tên là Ragnar Loader được sử dụng bởi nhiều nhóm tội phạm mạng và ransomware như Ragnar Locker (hay còn gọi là Monstrous Mantis), FIN7, FIN8 và Ruthless Mantis (trước đây là REvil).

Công ty an ninh mạng Thụy Sĩ PRODAFT cho biết : “Ragnar Loader đóng vai trò quan trọng trong việc duy trì quyền truy cập vào các hệ thống bị xâm nhập, giúp kẻ tấn công ở lại mạng trong các hoạt động dài hạn”. “Mặc dù nó được liên kết với nhóm Ragnar Locker, nhưng không rõ liệu họ sở hữu nó hay chỉ cho thuê. Điều chúng tôi biết là các nhà phát triển của nó liên tục bổ sung các tính năng mới, làm cho nó trở nên mô-đun hơn và khó bị phát hiện hơn”. Ragnar Loader, còn được gọi là Sardonic, lần đầu tiên được Bitdefender ghi nhận vào tháng 8 năm 2021 liên quan đến một cuộc tấn công không thành công do FIN8 thực hiện nhắm vào một tổ chức tài chính giấu tên ở Hoa Kỳ.

Sau đó, vào tháng 7 năm 2023, Symantec thuộc sở hữu của Broadcom đã tiết lộ việc FIN8 sử dụng phiên bản backdoor được cập nhật để triển khai ransomware BlackCat hiện đã ngừng hoạt động. Chức năng cốt lõi của Ragnar Loader là khả năng thiết lập các chỗ đứng lâu dài trong các môi trường mục tiêu, đồng thời sử dụng một loạt các kỹ thuật để né tránh việc bị phát hiện và đảm bảo khả năng phục hồi hoạt động. PRODAFT lưu ý: “Phần mềm độc hại này sử dụng các payload dựa trên PowerShell để thực thi, kết hợp các phương pháp mã hóa và giải mã mạnh mẽ (bao gồm RC4 và Base64) để che giấu các hoạt động của nó, và sử dụng các chiến lược tiêm nhiễm quy trình tinh vi để thiết lập và duy trì quyền kiểm soát bí mật đối với các hệ thống bị xâm nhập”.

“Những tính năng này cùng nhau tăng cường khả năng trốn tránh bị phát hiện và duy trì sự hiện diện trong các môi trường mục tiêu”. Phần mềm độc hại này được cung cấp cho các đối tác dưới dạng một gói tệp nén chứa nhiều thành phần để tạo điều kiện cho reverse shell, leo thang đặc quyền cục bộ và truy cập máy tính từ xa. Nó cũng được thiết kế để thiết lập liên lạc với tác nhân đe dọa, cho phép chúng điều khiển từ xa hệ thống bị nhiễm thông qua bảng điều khiển command-and-control (C2). Thường được thực thi trên các hệ thống nạn nhân bằng PowerShell, Ragnar Loader tích hợp một loạt các kỹ thuật chống phân tích để chống lại việc bị phát hiện và che giấu logic luồng điều khiển.

Hơn nữa, nó có khả năng thực hiện các hoạt động backdoor khác nhau bằng cách chạy các plugin DLL và shellcode, cũng như đọc và đánh cắp nội dung của các tệp tùy ý. Để cho phép di chuyển ngang trong mạng, nó sử dụng một tệp pivoting dựa trên PowerShell khác. Một thành phần quan trọng khác là một tệp ELF thực thi Linux có tên “bc” được thiết kế để tạo điều kiện cho các kết nối từ xa, cho phép kẻ tấn công khởi chạy và thực thi các lệnh trực tiếp trên hệ thống bị xâm nhập.

PRODAFT nói với ấn phẩm rằng “bc” tương tự như các mô-đun BackConnect có trong các họ phần mềm độc hại đã biết khác như QakBot và IcedID, cho phép tương tác từ xa với thiết bị của nạn nhân. Công ty này cho biết: “Đây là một kỹ thuật phổ biến trong giới tội phạm mạng, đặc biệt là để nhắm mục tiêu vào các nạn nhân doanh nghiệp, vì thiết bị của họ thường bị cô lập khỏi mạng”. Công ty này cho biết thêm: “Nó sử dụng các kỹ thuật ngụy trang, mã hóa và chống phân tích tiên tiến, bao gồm payload dựa trên PowerShell, các quy trình giải mã RC4 và Base64, tiêm nhiễm quy trình động, thao túng token và khả năng di chuyển ngang”. “Những tính năng này minh họa cho sự phức tạp và khả năng thích ứng ngày càng tăng của các hệ sinh thái ransomware hiện đại”

Đông Dương