Зловреден софтуер ZynorRAT
Изследователи по киберсигурност са идентифицирали ново семейство зловреден софтуер, състоящо се от компилиран от Go троянски кон за отдалечен достъп (RAT), наречен ZynorRAT. Имплантът е насочен както към Linux, така и към Windows хостове, управлява се чрез Telegram бот и – въз основа на наличните доказателства – се появява за първи път на 8 юли 2025 г. Анализаторите не съобщават за припокриване на код или поведение с предварително каталогизирани семейства, което предполага нова имплементация, а не вариант на съществуващ набор от инструменти.
Съдържание
Технически профил — език, компилация и бележки за междуплатформеност
ZynorRAT е имплементиран в Go, което позволява една кодова база да създава двоични файлове за множество операционни системи. Linux версията е богата на функции и предоставя широк набор от възможности за разузнаване, събиране на данни и дистанционно управление. Наблюдавана е и Windows версия, която изглежда функционално подобна на Linux варианта; тя обаче все още използва техники за персистентност в стил Linux (systemd услуги), което предполага, че артефактът за Windows може да е непълен или в процес на активна разработка.
Възможности — какво може да прави зловредният софтуер
Основната мисия на зловредния софтуер е събиране, извличане на данни и отдалечен достъп, като командването и контролът (C2) се управляват чрез Telegram бот (идентифициран като @lraterrorsbot, известен още като „lrat“). След внедряването си, ZynorRAT получава допълнителни инструкции от този бот и изпълнява задачи локално на хоста на жертвата. Ключовите възможности на Linux включват преглеждане и извличане на данни от файлове, профилиране на системата, изброяване и прекратяване на процеси, заснемане на екранни снимки, изпълнение на произволни команди и запазване на данни чрез systemd.
Наблюдавани крайни точки на командите (както са имплементирани в Linux компилацията):
- /fs_list — изброяване на директории
- /fs_get — извличане на файлове от хоста
- /metrics — извършва системно профилиране
- /proc_list — изпълнява еквивалента на ps за изброяване на процеси
- /proc_kill — прекратяване на процес по PID
- /capture_display — правене на екранни снимки на дисплея
- /persist — установяване на постоянство (системна услуга)
Командване и контрол и разпределение — как операторът го управлява и разпространява
Telegram е C2 каналът на ZynorRAT: зловредният софтуер се свързва с бота @lraterrorsbot и получава команди през този носител. Снимки на екрана и други артефакти, споделени чрез бота на Telegram, показват, че полезните товари се разпространяват чрез услуга за споделяне на файлове, наречена Dosya.co. Анализът на тези снимки на екрана показва, че авторът може да е използвал машини, които контролира, за да тества или валидира функционалност (самозаразяване). Използването на публична платформа за съобщения като Telegram като C2 осигурява лекота на използване за оператора и известна степен на оперативна гъвкавост, но също така създава ясни индикатори (идентификатор на бота, необичаен трафик на Telegram), които защитниците могат да търсят.
Приписване и хронология — какво можем разумно да заключим
Доказателствата сочат, че активността е започнала на 8 юли 2025 г. Езикови артефакти в чатовете на бота и друг възстановен текст предполагат, че операторът може да е турчин или поне да използва ресурси на турски език, а настоящият анализ е в полза на един-единствен, вероятно самотен участник, а не на групово усилие за разработка. Въпреки това, приписването на информация на човек или нация трябва да остане предпазливо в очакване на допълнително потвърждение.
Защо това е важно — новости и тенденции в разработването на зловреден софтуер
Въпреки че RAT-овете са често срещани, ZynorRAT е забележителен, защото изглежда е имплементация от типа „чиста стая“ (без припокривания с известни семейства), която реализира автоматизирани, централизирани контроли чрез Telegram. Неговите междуплатформени амбиции и използването на Go подчертават тенденцията относително малки оператори да произвеждат бързо способни инструменти за работа с множество операционни системи. Ранният етап на усъвършенстване тук показва колко бързо могат да се появят и внедрят нови RAT-ове.
Заключителна оценка
ZynorRAT представлява съвременен пример за лека, но способна RAT, създадена за междуплатформено внедряване и управлявана чрез готова услуга за съобщения. Откритието ѝ подчертава, че дори отделни оператори могат бързо да създават гъвкави инструменти за отдалечен достъп, използвайки съвременни езици като Go. Организациите трябва да третират базираната на Telegram C2 и неочакваното използване на потребителски услуги за споделяне на файлове като елементи с висок приоритет, да подсилят създаването на услуги в крайните точки и да прилагат изброените по-горе мерки за смекчаване на риска.
