كشف خبراء الأمن السيبراني عن “مجموعة أدوات برمجية خبيثة متطورة ومتجددة” تُعرف باسم Ragnar Loader، والتي تُستخدم من قبل مجموعات الجرائم الإلكترونية وهجمات الفدية مثل Ragnar Locker (المعروفة أيضًا باسم Monstrous Mantis)، FIN7، FIN8، وRuthless Mantis (المعروفة سابقًا باسم REvil).
ووفقًا لشركة PRODAFT السويسرية للأمن السيبراني، فإن Ragnar Loader تلعب دورًا رئيسيًا في الحفاظ على الوصول إلى الأنظمة المخترقة، مما يساعد المهاجمين على التواجد داخل الشبكات لفترات طويلة.
وأضافت الشركة في بيان نشرته عبر The Hacker News:
“رغم ارتباطها بمجموعة Ragnar Locker، فإنه من غير الواضح ما إذا كانوا يمتلكونها أو يؤجرونها لأطراف أخرى. ولكن ما نعلمه هو أن مطوريها يضيفون ميزات جديدة باستمرار، مما يجعلها أكثر مرونة وأصعب في الاكتشاف.”
تاريخ Ragnar Loader
تم توثيق Ragnar Loader لأول مرة من قبل Bitdefender في أغسطس 2021، وذلك بعد محاولة هجوم فاشلة من قبل مجموعة FIN8 استهدفت مؤسسة مالية مجهولة في الولايات المتحدة. ويُعتقد أن استخدامها بدأ منذ عام 2020.
وفي يوليو 2023، كشفت شركة Symantec (المملوكة لشركة Broadcom) أن FIN8 استخدمت إصدارًا محدثًا من الباب الخلفي (Backdoor) لتوزيع برمجية الفدية BlackCat التي لم تعد نشطة الآن.
آلية عمل Ragnar Loader
يهدف Ragnar Loader إلى توفير موطئ قدم طويل الأمد داخل البيئات المستهدفة، حيث يستخدم مجموعة من التقنيات المتطورة لتجنب الاكتشاف وضمان استمرار العمليات الخبيثة.
وأوضحت PRODAFT أن البرمجية:
- تعتمد على تحميل الحمولة الضارة باستخدام PowerShell.
- تستخدم تقنيات تشفير وترميز قوية مثل RC4 وBase64 لإخفاء عملياتها.
- تستخدم أساليب متقدمة لحقن العمليات (Process Injection) من أجل البقاء غير مكشوفة داخل الأنظمة المخترقة.
وأضافت الشركة:
“تساعد هذه الميزات مجتمعة في تعزيز قدرة Ragnar Loader على التخفي والبقاء داخل البيئات المستهدفة دون اكتشاف.”
مكونات Ragnar Loader
يتم تقديم Ragnar Loader على شكل حزمة ملفات أرشيفية تحتوي على مكونات متعددة تساعد في:
- تشغيل Reverse Shell (قناة اتصال عكسية).
- تصعيد الامتيازات محليًا.
- الوصول عن بعد إلى سطح المكتب.
كما تم تصميمه لإنشاء قناة اتصال مع الجهات المهاجمة، مما يتيح لهم التحكم في الأنظمة المصابة عن بُعد من خلال لوحة C2 (التحكم والسيطرة).
أساليب التهرب من التحليل والكشف
عادةً ما يتم تنفيذ Ragnar Loader على الأنظمة المستهدفة عبر PowerShell، حيث يستخدم مجموعة واسعة من تقنيات مقاومة التحليل، مثل:
- إخفاء تدفق الأوامر داخل النظام.
- تنفيذ عمليات الباب الخلفي عبر تحميل مكونات DLL وتشغيل الشيفرات الضارة (Shellcode).
- قراءة وسحب محتويات الملفات المستهدفة.
- التحرك الجانبي داخل الشبكة باستخدام ملفات PowerShell خاصة.
المكون الخبيث “bc” لاستهداف أنظمة Linux
يحتوي Ragnar Loader على ملف تنفيذي ELF خاص بأنظمة Linux يُعرف باسم “bc”، وهو مصمم لإنشاء اتصالات عن بُعد، مما يسمح للمهاجمين بتنفيذ أوامر عبر سطر الأوامر مباشرةً على الأنظمة المخترقة.
وأشارت PRODAFT إلى أن “bc” يشبه وحدات BackConnect الموجودة في عائلات برمجيات خبيثة معروفة مثل QakBot وIcedID، والتي تتيح للمهاجمين التفاعل مع الأجهزة المصابة عن بُعد.
وأضافت الشركة:
“هذه التقنية شائعة بين مجرمي الإنترنت، خاصة عند استهداف المؤسسات، حيث تكون الأجهزة غالبًا معزولة داخل الشبكة.”
تعقيد متزايد في بيئة برامج الفدية
أكد الباحثون أن Ragnar Loader يوضح كيف أصبحت بيئات برمجيات الفدية أكثر تعقيدًا، إذ يستخدم تقنيات متقدمة تشمل:
- الإخفاء والتشفير.
- حقن العمليات الديناميكي.
- التلاعب بالرموز (Token Manipulation).
- التنقل الجانبي داخل الشبكات.
