Slevová nabídka pro více licencí
Databáze hrozeb Malware Malware ZynorRAT

Malware ZynorRAT

V roce Mezo v roce Malware, Nástroje pro vzdálenou správu
Přeložit do:

Výzkumníci v oblasti kybernetické bezpečnosti identifikovali novou rodinu malwaru, kterou tvoří trojský kůň pro vzdálený přístup (RAT) kompilovaný v Go s názvem ZynorRAT. Implantát cílí na hostitele s Linuxem i Windows, je spravován prostřednictvím bota Telegram a – na základě dostupných důkazů – se poprvé objevil 8. července 2025. Analytici neuvádějí žádný překryv kódu ani chování s dříve katalogizovanými rodinami, což naznačuje spíše novou implementaci než variantu stávající sady nástrojů.

Technický profil – poznámky k jazyku, sestavení a multiplatformnímu rozhraní

ZynorRAT je implementován v jazyce Go, což umožňuje z jediné kódové základny vytvářet binární soubory pro více cílových operačních systémů. Verze pro Linux je bohatá na funkce a nabízí širokou škálu možností pro průzkum, sběr dat a vzdálené ovládání. Byla také pozorována verze pro Windows, která se funkčně jeví jako linuxová varianta; stále však používá techniky perzistence ve stylu Linuxu (služby systemd), což naznačuje, že artefakt pro Windows může být neúplný nebo aktivně vyvíjený.

Schopnosti – co malware dokáže

Primárním úkolem malwaru je shromažďování, exfiltrace a vzdálený přístup, přičemž Command-and-Control (C2) je řízen prostřednictvím telegramového bota (identifikovaného jako @lraterrorsbot, alias „lrat“). Po nasazení ZynorRAT přijímá od tohoto bota další instrukce a provádí úkoly lokálně na hostiteli oběti. Mezi klíčové funkce Linuxu patří procházení a exfiltrace souborů, profilování systému, výpis a ukončení procesů, pořizování snímků obrazovky, provádění libovolných příkazů a perzistence prostřednictvím systemd.

Pozorované koncové body příkazů (jak jsou implementovány v sestavení Linuxu):

  • /fs_list — výčet adresářů
  • /fs_get — extrahuje soubory z hostitele
  • /metrics — provést profilování systému
  • /proc_list — spustí ekvivalent příkazu ps pro výpis procesů
  • /proc_kill — ukončí proces podle PID
  • /capture_display — pořídit snímky obrazovky displeje
  • /persist — nastaví perzistenci (služba systemd)

Velení a řízení a distribuce – jak operátor řídí a šíří informace

Telegram je kanál C2 pro ZynorRAT: malware se připojuje k botu @lraterrorsbot a přijímá příkazy přes toto médium. Snímky obrazovky a další artefakty sdílené prostřednictvím bota Telegram ukazují, že datové zásilky jsou distribuovány prostřednictvím služby pro sdílení souborů s názvem Dosya.co. Analýza těchto snímků obrazovky naznačuje, že autor mohl použít stroje, které ovládá, k testování nebo ověření funkčnosti (autoinfekce). Použití platformy pro veřejné zasílání zpráv, jako je Telegram, jako kanálu C2 poskytuje operátorovi snadné použití a určitou úroveň provozní flexibility, ale také vytváří jasné indikátory (handle bota, neobvyklý provoz v Telegramu), které mohou obránci sledovat.

Atribuce a časová osa – co můžeme rozumně odvodit

Důkazy ukazují na aktivitu začínající 8. července 2025. Jazykové artefakty v chatech s boty a další obnovený text naznačují, že operátorem může být Turek nebo alespoň používat turecké jazykové zdroje, a současná analýza upřednostňuje spíše jednoho, pravděpodobně osamoceného aktéra než skupinové úsilí o vývoj. Nicméně připisování k osobě nebo národu by mělo zůstat opatrné, dokud nebudou podány další potvrzení.

Proč je to důležité – novosti a trendy ve vývoji malwaru

Ačkoli jsou RATy běžné, ZynorRAT je pozoruhodný, protože se zdá být implementací z čistého prostředí (bez překrývání se známými rodinami platform), která implementuje automatizované, centralizované ovládací prvky prostřednictvím Telegramu. Jeho multiplatformní ambice a použití Go zdůrazňují trend relativně malých operátorů, kteří rychle vytvářejí schopné nástroje pro více operačních systémů. Raná fáze sofistikovanosti ukazuje, jak rychle se mohou objevit a zavést nové RATy.

Závěrečné hodnocení

ZynorRAT představuje současný příklad lehkého, ale výkonného RATu vytvořeného pro nasazení napříč platformami a spravovaného prostřednictvím standardní služby zasílání zpráv. Jeho objev zdůrazňuje, že i jednotliví operátoři mohou rychle vytvářet flexibilní nástroje pro vzdálený přístup pomocí moderních jazyků, jako je Go. Organizace by měly považovat C2 založené na Telegramu a neočekávané používání služeb sdílení souborů spotřebiteli za položky s vysokou prioritou, zpřísnit vytváření služeb na koncových bodech a aplikovat výše uvedená opatření ke snížení expozice.

Trendy

Nejvíce shlédnuto

Načítání...