摘要：安全研究人员发现一种名为Ragnar Loader的“复杂且不断演变的恶意软件工具包”，该工具包被 Ragnar Locker（又名 Monstrous Mantis）、FIN7、FIN8 和 Ruthless Mantis（前 REvil）等各种网络犯罪和勒

安全研究人员发现一种名为Ragnar Loader的“复杂且不断演变的恶意软件工具包”，该工具包被 Ragnar Locker（又名 Monstrous Mantis）、FIN7、FIN8 和 Ruthless Mantis（前 REvil）等各种网络犯罪和勒索软件组织所使用。

瑞士网络安全公司 PRODAFT 表示：“Ragnar Loader 在保持对受感染系统的访问方面发挥着关键作用，帮助攻击者在网络中进行长期行动。”

“虽然它与 Ragnar Locker 组织有关，但尚不清楚他们是拥有它还是只是将其出租给其他人。我们所知道的是，它的开发人员不断添加新功能，使其更加模块化，更难检测。”

Ragnar Loader，也称为 Sardonic，于 2021 年 8 月首次由 Bitdefender 记录，与 FIN8 针对位于美国的一家未具名金融机构发起的一次未成功的攻击有关，据说它自 2020 年以来就已投入使用。

随后在 2023 年 7 月，赛门铁克披露FIN8 使用更新版本的后门来传播现已不存在的 BlackCat 勒索软件。

Ragnar Loader 的核心功能是能够在目标环境中建立长期立足点，同时采用一系列技术来规避检测并确保操作弹性。

PRODAFT 指出：“该恶意软件利用基于 PowerShell 的有效载荷进行执行，采用强大的加密和编码方法（包括 RC4 和 Base64）来隐藏其操作，并采用复杂的进程注入策略来建立和维持对受感染系统的隐秘控制。”

“这些特征共同增强了其逃避检测和在目标环境中生存的能力。”

该恶意软件以压缩包的形式提供给关联方，其中包含多个组件，以方便反向 shell、本地特权升级和远程桌面访问。它还旨在攻击者建立通信，允许他们通过命令和控制 (C2) 面板远程控制受感染的系统。

Ragnar Loader 通常使用 PowerShell 在受害者系统上执行，它集成了一系列反分析技术来抵抗检测和模糊控制流逻辑。

此外，它还能够通过运行 DLL 插件和 shellcode 来执行各种后门操作，以及读取和泄露任意文件的内容。为了在网络内实现横向移动，它利用了另一个基于 PowerShell 的代码。

另一个关键组件是名为 bc 的 Linux 可执行 ELF 文件，旨在促进远程连接，允许对手直接在受感染的系统上启动并执行命令行指令。

PRODAFT 表示：“它采用了先进的混淆、加密和反分析技术，包括基于 PowerShell 的有效负载、RC4 和 Base64 解密例程、动态进程注入、令牌操纵和横向移动功能。”“这些功能体现了现代勒索软件生态系统日益增加的复杂性和适应性。”

技术报告：

参考链接：

来源：会杀毒的单反狗