يستخدم Fin7 و Fin8 وآخرون اللودر Ragnar للوصول المستمر والعمليات الفدية
صيادون التهديد لديهم سقيت الضوء على مجموعة أدوات البرامج الضارة “المتطورة والمتطورة” تسمى ” راجنار لوك تستخدمها مختلف مجموعات الجريمة الإلكترونية وبرامج الفدية مثل Ragnar Locker (المعروف أيضًا باسم Mantis Mantis) ، Fin7 ، Fin8 ، و Ruthless Mantis (Revil).
وقالت شركة الأمن السيبراني السويسري في بيان مشترك مع أخبار المتسللين: “يلعب راجنار لوك دورًا رئيسيًا في الحفاظ على إمكانية الوصول إلى الأنظمة المعرضة للخطر ، مما يساعد المهاجمين على البقاء في شبكات العمليات طويلة الأجل”.
“على الرغم من أنه مرتبط بمجموعة Ragnar Locker ، إلا أنه من غير الواضح ما إذا كانوا يمتلكونها أو يستأجرونها للآخرين. ما نعرفه هو أن مطوريها يضيفون باستمرار ميزات جديدة ، مما يجعلها أكثر وحدات وأصعب اكتشافها.”
تم توثيق Ragnar Loader ، الذي يشار إليه أيضًا باسم Sardonic ، من قبل Bitdefender في أغسطس 2021 فيما يتعلق بهجوم غير ناجح نفذته FIN8 التي تهدف إلى مؤسسة مالية لم تكشف عن اسمها في الولايات المتحدة التي قيل إنها تم استخدامها منذ عام 2020.
ثم في يوليو عام 2023 ، كشفت Symantec المملوكة لشركة Broadcom عن استخدام Fin8 لإصدار محدث من Backdoor لتقديم الفدية Blackcat التي انتهاءها الآن.
تتمثل الوظيفة الأساسية لـ Ragnar Loader في قدرتها على إنشاء موطئ قدم طويلة الأجل داخل البيئات المستهدفة ، مع استخدام ترسانة من التقنيات لتجنب الكشف وضمان المرونة التشغيلية.
“تستخدم البرامج الضارة الحمولات القائمة على PowerShell للتنفيذ ، وتتضمن تشفيرًا قويًا وترميزًا (بما في ذلك RC4 و BASE64) لإخفاء عملياتها ، وتوظيف استراتيجيات حقن العملية المتطورة لإنشاء وحفظ السيطرة الشفقة على الأنظمة المتساد”.
“هذه الميزات تعزز بشكل جماعي قدرتها على التهرب من الكشف والاستمرار في البيئات المستهدفة.”
يتم تقديم البرامج الضارة للشركات التابعة في شكل حزمة ملفات أرشيف تحتوي على مكونات متعددة لتسهيل الصدفة العكسية ، وتصعيد الامتياز المحلي ، والوصول إلى سطح المكتب عن بُعد. تم تصميمه أيضًا لإنشاء اتصالات مع ممثل التهديد ، مما يسمح لهم بالتحكم عن بُعد في النظام المصاب من خلال لوحة القيادة والسيطرة (C2).
يتم تنفيذه عادة على أنظمة الضحايا باستخدام PowerShell ، يدمج Ragnar Loader مجموعة من تقنيات مكافحة التحليل لمقاومة الكشف والاحتفال بتدفق التحكم.
علاوة على ذلك ، فإنه يتميز بالقدرة على إجراء مختلف عمليات Backdoor عن طريق تشغيل المكونات الإضافية DLL و shellcode ، بالإضافة إلى القراءة والتعبير عن محتويات الملفات التعسفية. لتمكين الحركة الجانبية داخل الشبكة ، يستفيد من ملف محوري آخر يعتمد على PowerShell.
مكون آخر مهم هو ملف Linux القابل للتنفيذ يسمى “BC” مصمم لتسهيل الاتصالات عن بُعد ، مما يسمح للخصم بتشغيل وتنفيذ تعليمات خط الأوامر مباشرة على النظام المستعرض.
أخبر Prodaft المنشور أن “BC” يشبه وحدات BackConnect الموجودة في عائلات البرمجيات الخبيثة الأخرى مثل Qakbot و Icedid التي تتيح التفاعل عن بُعد مع جهاز الضحية. وقالت “هذه تقنية شائعة بين مجرمي الإنترنت ، وخاصة لاستهداف ضحايا المؤسسات ، لأن أجهزتهم غالباً ما تكون معزولة بالشبكة”.
وأضافت الشركة: “إنها تستخدم تقنيات متطورة ، تشفير ، ومكافحة التحليل ، بما في ذلك الحمولات القائمة على PowerShell ، وروتين فك تشفير RC4 و BASE64 ، وحقن العمليات الديناميكية ، والتلاعب الرمزي ، وقدرات الحركة الجانبية” ، أضافت الشركة. “هذه الميزات تجسد التعقيد المتزايد والقدرة على التكيف مع النظم الإيكولوجية الفدية الحديثة.”
إرسال التعليق