ZynorRAT Malware

সাইবার নিরাপত্তা গবেষকরা একটি অভিনব ম্যালওয়্যার পরিবার চিহ্নিত করেছেন, যার মধ্যে রয়েছে ZynorRAT নামক একটি Go-কম্পাইলড রিমোট অ্যাক্সেস ট্রোজান (RAT)। ইমপ্লান্টটি লিনাক্স এবং উইন্ডোজ উভয় হোস্টকেই লক্ষ্য করে, একটি টেলিগ্রাম বটের মাধ্যমে পরিচালিত হয় এবং - উপলব্ধ প্রমাণের ভিত্তিতে - প্রথম প্রকাশিত হয়েছিল ৮ জুলাই, ২০২৫। বিশ্লেষকরা পূর্বে তালিকাভুক্ত পরিবারের সাথে কোনও কোড বা আচরণগত ওভারল্যাপের রিপোর্ট করেননি, যা বিদ্যমান টুলসেটের একটি বৈকল্পিকের পরিবর্তে একটি নতুন বাস্তবায়নের পরামর্শ দেয়।

টেকনিক্যাল প্রোফাইল — ভাষা, বিল্ড এবং ক্রস-প্ল্যাটফর্ম নোট

ZynorRAT Go তে বাস্তবায়িত হয়েছে, যা একটি একক কোডবেসকে একাধিক OS টার্গেটের জন্য বাইনারি তৈরি করতে দেয়। Linux বিল্ডটি বৈশিষ্ট্য সমৃদ্ধ এবং রিকনেসান্স, ডেটা সংগ্রহ এবং রিমোট কন্ট্রোলের জন্য বিস্তৃত ক্ষমতা প্রদর্শন করে। একটি Windows বিল্ডও লক্ষ্য করা গেছে এবং এটি Linux ভেরিয়েন্টের মতো কার্যকরীভাবে অনুরূপ বলে মনে হচ্ছে; তবে, এটি এখনও Linux-শৈলীর স্থায়িত্ব কৌশল (systemd পরিষেবা) ব্যবহার করে, যার অর্থ Windows আর্টিফ্যাক্টটি অসম্পূর্ণ বা সক্রিয় বিকাশের অধীনে থাকতে পারে।

ক্ষমতা — ম্যালওয়্যার কী করতে পারে

ম্যালওয়্যারটির প্রাথমিক লক্ষ্য হল সংগ্রহ, এক্সফিল্ট্রেশন এবং রিমোট অ্যাক্সেস, কমান্ড-এন্ড-কন্ট্রোল (C2) একটি টেলিগ্রাম বটের মাধ্যমে পরিচালিত হয় (যা @lraterrorsbot, ওরফে 'lrat' নামে পরিচিত)। একবার স্থাপন করা হলে, ZynorRAT সেই বট থেকে আরও নির্দেশাবলী গ্রহণ করে এবং ভিকটিম হোস্টে স্থানীয়ভাবে কাজ সম্পাদন করে। মূল লিনাক্স ক্ষমতাগুলির মধ্যে রয়েছে ফাইল ব্রাউজিং এবং এক্সফিল্ট্রেশন, সিস্টেম প্রোফাইলিং, প্রক্রিয়া তালিকা এবং সমাপ্তি, স্ক্রিনশট ক্যাপচার, ইচ্ছামত কমান্ড কার্যকরকরণ এবং systemd এর মাধ্যমে স্থায়িত্ব।

পর্যবেক্ষণকৃত কমান্ড এন্ডপয়েন্ট (লিনাক্স বিল্ডে বাস্তবায়িত):

• /fs_list — ডিরেক্টরিগুলি গণনা করা
• /fs_get — হোস্ট থেকে ফাইলগুলি এক্সফিল্ট্রেট করুন
• /মেট্রিক্স — সিস্টেম প্রোফাইলিং সম্পাদন করে
• /proc_list — তালিকা প্রক্রিয়াগুলিতে ps এর সমতুল্য চালান
• /proc_kill — PID দ্বারা একটি প্রক্রিয়া বন্ধ করুন
• /capture_display — ডিসপ্লের স্ক্রিনশট নেওয়া
• /persist — স্থিরতা প্রতিষ্ঠা করুন (systemd পরিষেবা)

কমান্ড-এন্ড-কন্ট্রোল এবং বিতরণ — অপারেটর কীভাবে এটি পরিচালনা করে এবং ছড়িয়ে দেয়

টেলিগ্রাম হল ZynorRAT-এর C2 চ্যানেল: ম্যালওয়্যারটি @lraterrorsbot বটের সাথে যোগাযোগ করে এবং সেই মাধ্যমে কমান্ড গ্রহণ করে। টেলিগ্রাম বটের মাধ্যমে শেয়ার করা স্ক্রিনশট এবং অন্যান্য আর্টিফ্যাক্টগুলি দেখায় যে পেলোডগুলি Dosya.co নামক একটি ফাইল-শেয়ারিং পরিষেবার মাধ্যমে বিতরণ করা হচ্ছে। এই স্ক্রিনশটগুলির বিশ্লেষণ থেকে বোঝা যায় যে লেখক কার্যকারিতা (স্ব-সংক্রমণ) পরীক্ষা বা যাচাই করার জন্য তাদের নিয়ন্ত্রণাধীন মেশিনগুলি ব্যবহার করেছেন। টেলিগ্রামের মতো একটি পাবলিক মেসেজিং প্ল্যাটফর্মকে C2 হিসাবে ব্যবহার করা অপারেটরের জন্য ব্যবহারের সহজতা এবং কিছু স্তরের কর্মক্ষম নমনীয়তা প্রদান করে, তবে এটি স্পষ্ট সূচক (বট হ্যান্ডেল, অস্বাভাবিক টেলিগ্রাম ট্র্যাফিক) তৈরি করে যা ডিফেন্ডাররা অনুসন্ধান করতে পারে।

বৈশিষ্ট্য এবং সময়রেখা — আমরা যুক্তিসঙ্গতভাবে যা অনুমান করতে পারি

প্রমাণ থেকে জানা যায় যে, ৮ জুলাই, ২০২৫ তারিখ থেকে এই কার্যকলাপ শুরু হয়েছে। বট চ্যাট এবং অন্যান্য উদ্ধারকৃত টেক্সটে ভাষাগত নিদর্শনগুলি ইঙ্গিত দেয় যে অপারেটরটি তুর্কি হতে পারে অথবা অন্তত তুর্কি ভাষা ব্যবহার করছে, এবং বর্তমান বিশ্লেষণে দেখা যাচ্ছে যে, কোনও একক, সম্ভবত একক ব্যক্তিত্বের পক্ষে, কোনও গোষ্ঠীগত উন্নয়ন প্রচেষ্টার পরিবর্তে। তবে, আরও নিশ্চিতকরণের আগ পর্যন্ত কোনও ব্যক্তি বা জাতির প্রতি আরোপিত অভিযোগের ব্যাপারে সতর্ক থাকা উচিত।

কেন এটি গুরুত্বপূর্ণ — নতুনত্ব এবং ম্যালওয়্যার-উন্নয়নের প্রবণতা

যদিও RAT গুলি সাধারণ, ZynorRAT উল্লেখযোগ্য কারণ এটি একটি ক্লিন-রুম বাস্তবায়ন (পরিচিত পরিবারের সাথে কোনও ওভারল্যাপ নেই) যা টেলিগ্রামের মাধ্যমে স্বয়ংক্রিয়, কেন্দ্রীভূত নিয়ন্ত্রণ বাস্তবায়ন করে। এর ক্রস-প্ল্যাটফর্ম উচ্চাকাঙ্ক্ষা এবং Go এর ব্যবহার তুলনামূলকভাবে ছোট অপারেটরদের দ্রুত সক্ষম মাল্টি-ওএস টুলিং তৈরির প্রবণতা তুলে ধরে। প্রাথমিক পর্যায়ের পরিশীলিততা এখানে দেখায় যে কত দ্রুত নতুন RAT গুলি আবির্ভূত হতে পারে এবং ফিল্ড করা যেতে পারে।

সমাপনী মূল্যায়ন

ZynorRAT একটি হালকা কিন্তু সক্ষম RAT-এর সমসাময়িক উদাহরণ, যা ক্রস-প্ল্যাটফর্ম স্থাপনের জন্য তৈরি এবং একটি অফ-দ্য-শেল্ফ মেসেজিং পরিষেবার মাধ্যমে পরিচালিত হয়। এর আবিষ্কারটি জোর দিয়ে বলে যে একক অপারেটররাও Go-এর মতো আধুনিক ভাষা ব্যবহার করে দ্রুত নমনীয় রিমোট অ্যাক্সেস সরঞ্জাম তৈরি করতে পারে। সংস্থাগুলির উচিত টেলিগ্রাম-ভিত্তিক C2 এবং গ্রাহক ফাইল-শেয়ারিং পরিষেবার অপ্রত্যাশিত ব্যবহারকে উচ্চ-অগ্রাধিকার অনুসন্ধান আইটেম হিসাবে বিবেচনা করা, শেষ বিন্দুতে পরিষেবা তৈরিকে কঠোর করা এবং এক্সপোজার কমাতে উপরে তালিকাভুক্ত প্রশমন প্রয়োগ করা।