FIN7, FIN8, and Others Use Ragnar Loader for Persistent Access and Ransomware Operations
- 위협 개요
- Ragnar Loader 악성코드는 Ragnar Locker(Monstrous Mantis), FIN7, FIN8, Ruthless Mantis(ex‑REvil) 등 다수 랜섬웨어 그룹이 사용 중
- 2020년부터 활동, 최초 발견 사례는 2021년 Bitdefender 보고서에서 FIN8 그룹의 미국 금융기관 공격 시도
- 지속적 시스템 접근을 유지하는 데 핵심적인 역할 수행
- 주요 기능 및 기술적 특징
- PowerShell 기반 페이로드 사용으로 실행 환경 확보
- RC4, Base64 등 강력한 암호화 및 인코딩으로 탐지 회피
- 정교한 프로세스 인젝션 기법으로 은밀한 제어 유
- DLL 플러그인, 셸코드(shellcode) 실행을 통한 다양한 백도어 기능 수행
- 임의 파일의 데이터 탈취 및 원격 명령 실행 지원
- 별도 PowerShell 기반 파일을 이용한 네트워크 내 측면 이동(lateral movement)
- 랜섬웨어 운영 지원 구조
- 아카이브 형태로 제공되는 패키지 내에 역 셸(reverse shell), 권한 상승, 원격 데스크톱 접근 등 다양한 모듈 포함
- 명령제어(C2) 패널을 통한 공격자 원격 통제 가능
- 리눅스 기반 ELF 파일("bc")을 이용하여 원격 연결 및 명령 수행, 네트워크 격리 환경에서도 원격 접속 지원
- 탐지 회피 및 분석 방해 기법
- 동적 프로세스 인젝션, 토큰(token) 조작 등 고급 기법 활용
- 난독화(obfuscation), 암호화, 안티 분석(anti‑analysis) 기법 적극 적용
- 보안권고
- PowerShell 사용에 대한 엄격한 정책 적용 및 모니터링 강화
- EDR·XDR 솔루션을 통한 프로세스 인젝션 탐지 및 차단 체계 구축
- 시스템 로그 및 네트워크 트래픽 분석을 통한 이상 행위 탐지 강화
- 권한 상승·원격 접근 시도에 대한 실시간 모니터링 및 알림 설정
- 위협 인텔리전스 활용으로 최신 랜섬웨어 그룹의 TTP(전술, 기법, 절차) 지속 업데이트 및 대응
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Microsoft, 중소기업용 365 E5 Security 추가 기능 출시 (0) | 2025.04.12 |
|---|---|
| CISO를 위한 CTEM(지속적 위협 노출 관리) 도입 필요성과 이점 (0) | 2025.04.12 |
| Strela Stealer 악성코드, Microsoft Outlook 사용자 자격 증명 탈취 공격 (0) | 2025.04.12 |
| PyPI 악성 패키지 ‘set-utils’, 블록체인 개발자 노리고 이더리움 지갑 개인키 탈취 (0) | 2025.04.12 |
| 북한 APT 'Lazarus', 소셜 엔지니어링 기반 $14억 암호화폐 공급망 해킹 (1) | 2025.04.12 |