07 mars 2025Ravie Lakshmanan

Les chasseurs de menaces ont éclairer Sur une “boîte à outils de logiciels malveillants sophistiquée et évolutive” appelée Chargeur de ragnar Cela est utilisé par divers groupes de cybercriminalité et de ransomware comme Ragnar Locker (alias Montrous Mantis), Fin7, Fin8, et Mantis impitoyables (ex-Revil).

“Ragnar Loader joue un rôle clé dans le maintien de l’accès à des systèmes compromis, aidant les attaquants à rester dans des réseaux pour des opérations à long terme”, a déclaré la société de cybersécurité suisse Prafaft dans un communiqué partagé avec le Hacker News.

“Bien qu’il soit lié au groupe de casiers Ragnar, il n’est pas clair s’ils le possèdent ou le louent simplement à d’autres. Ce que nous savons, c’est que ses développeurs ajoutent constamment de nouvelles fonctionnalités, ce qui le rend plus modulaire et plus difficile à détecter.”

Ragnar Loader, également appelé Sardonic, a été documenté pour la première fois par Bitdefender en août 2021 dans le cadre d’une attaque infructueuse menée par FIN8 visant une institution financière sans nom située aux États-Unis, elle aurait été utilisée depuis 2020.

Cybersécurité

Puis, en juillet 2023, Symantec, appartenant à Broadcom, a révélé l’utilisation par FIN8 d’une version mise à jour de la porte dérobée pour livrer le ransomware BlackCat maintenant disparu.

La fonctionnalité principale du chargeur du ragnar est sa capacité à établir des fonds à long terme dans des environnements ciblés, tout en utilisant un arsenal de techniques pour contourner la détection et assurer une résilience opérationnelle.

“Le logiciel malveillant utilise des charges utiles basées sur PowerShell pour l’exécution, intègre de solides méthodes de cryptage et de codage (y compris RC4 et Base64) pour cacher ses opérations, et utilise des stratégies d’injection de processus sophistiquées pour établir et maintenir un contrôle furtif sur les systèmes compromis”, a noté ProDaft.

“Ces fonctionnalités améliorent collectivement sa capacité à échapper à la détection et à persister dans des environnements ciblés.”

Opérations de ransomware

Le malware est offert aux affiliés sous la forme d’un package de fichiers d’archives contenant plusieurs composants pour faciliter le shell inversé, l’escalade des privilèges locaux et l’accès à distance de bureau. Il est également conçu pour établir des communications avec l’acteur de menace, leur permettant de contrôler à distance le système infecté via un panneau de commandement et de contrôle (C2).

Typiquement exécuté sur les systèmes de victimes à l’aide de PowerShell, le chargeur Ragnar intègre une multitude de techniques d’anti-analyse pour résister à la détection et à une logique d’écoulement de contrôle obscure.

Cybersécurité

En outre, il dispose de la possibilité de mener diverses opérations de porte dérobée en exécutant des plugins DLL et Shellcode, ainsi qu’en lisant et en exfiltrant le contenu des fichiers arbitraires. Pour activer le mouvement latéral dans un réseau, il utilise un autre fichier pivotant basé sur PowerShell.

Un autre composant critique est un fichier ELF exécutable Linux nommé BC conçu pour faciliter les connexions distantes, permettant à l’adversaire de lancer un et d’exécuter des instructions de ligne de commande directement sur le système compromis.

“Il utilise des techniques avancées d’obscurcissement, de chiffrement et d’anti-analyse, notamment des charges utiles basées sur PowerShell, des routines de décryptage RC4 et Base64, une injection de processus dynamique, une manipulation de jetons et des capacités de mouvement latéral”, a déclaré Prodaft. “Ces caractéristiques illustrent la complexité et l’adaptabilité croissantes des écosystèmes de ransomware modernes.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57