다양한 랜섬웨어 그룹이 활용하는 정교한 악성코드 ‘Ragnar Loader’의 실체 - 데일리시큐
다양한 랜섬웨어 그룹이 활용하는 정교한 악성코드 ‘Ragnar Loader’의 실체 - 데일리시큐
사이버 범죄 조직이 활용하는 악성코드 ‘Ragnar Loader’(라그나 로더)가 보안 전문가들에 의해 상세히 분석됐다. 이 악성코드는 Ragnar Locker, FIN7, FIN8, Ruthless Mantis(구 REvil) 등 여러 해킹 그룹이 사...
www.dailysecu.com
- Ragnar Loader 개요
- Ragnar Locker, FIN7, FIN8, Ruthless Mantis(구 REvil) 등 주요 랜섬웨어 그룹이 사용 중
- 최초 2021년 8월 비트디펜더(Bitdefender)가 발견(Sardonic으로도 알려짐)
- 최소 2020년부터 활동 중이며 지속적으로 진화 중
- 주요 기술적 특징 및 공격 기법
- 지속적 접근 유지(Persistence)
- 감염된 시스템 내 장기간 머물며 공격자 지속 접근 지원
- PowerShell 기반 페이로드 활용
- 프로세스 인젝션(Process Injection) 기법으로 탐지 회피
- 암호화 및 난독화
- RC4, Base64 암호화로 악성 행위 은닉
- 코드 흐름 난독화를 통한 안티 분석(Anti-Analysis) 기법 적용
- 모듈형 아키텍처
- 원격 명령 실행, 권한 상승, 원격 데스크톱 접근 등 다양한 기능 수행
- C2(Command-and-Control) 패널과 실시간 연결하여 시스템 원격 제어
- DLL 플러그인 및 쉘코드(Shellcode) 활용으로 내부 네트워크 이동(pivoting) 수행
- 리눅스 환경 대응
- ELF 파일('bc')을 통해 원격 명령 실행 및 분리된 네트워크 환경 공략
- 기존 악성코드(QakBot, IcedID)의 BackConnect 모듈과 유사
- 지속적 접근 유지(Persistence)
- 공격 피해 및 위험성
- 장기간 탐지되지 않은 상태로 조직 네트워크 내 잠복 가능성
- 기업 내 주요 시스템 감염 시 심각한 랜섬웨어 피해 발생 위험
- 보안 솔루션 우회 능력이 지속적으로 강화되어 대응 난이도 증가
- 보안권고
- 정기적인 보안 점검을 통한 시스템 및 네트워크 취약점 사전 보완
- AI 기반 고급 위협 탐지 솔루션 도입을 통한 실시간 악성 행위 탐지·차단
- 피싱 및 소셜 엔지니어링 공격 대응을 위한 임직원 보안 인식 교육 정기 실시
- 조직 차원의 보안 정책 강화 및 기술적 대응 전략 지속적 보완
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 인포스틸러(InfoStealer) 악성코드, 39억 개 패스워드 탈취 사건 분석 (0) | 2025.04.12 |
|---|---|
| 국립대 웹메일 개인정보 유출 (0) | 2025.04.12 |
| 북한 배후 추정 Kimsuky, 통일 교육 프로그램 위장 워터링홀 공격 수행 (0) | 2025.04.12 |
| 중국 BYD 전기차의 개인정보 보호 및 사이버보안 논란 (0) | 2025.04.12 |
| GA업계 지점장, 보험설계사 개인정보 해킹 및 재판매 의혹 (0) | 2025.04.12 |