Rabattilbud med flere licenser
Trusseldatabase Malware ZynorRAT-malware

ZynorRAT-malware

Med Mezo i Malware, Fjernadministrationsværktøjer
Oversæt til:

Cybersikkerhedsforskere har identificeret en ny malware-familie, bestående af en Go-kompileret fjernadgangstrojan (RAT) kaldet ZynorRAT. Implantatet er rettet mod både Linux- og Windows-værter, administreres via en Telegram-bot og – baseret på tilgængelig evidens – dukkede første gang op den 8. juli 2025. Analytikere rapporterer ingen kode- eller adfærdsoverlap med tidligere katalogiserede familier, hvilket tyder på en ny implementering snarere end en variant af et eksisterende værktøjssæt.

Teknisk profil — sprog, build og noter på tværs af platforme

ZynorRAT er implementeret i Go, hvilket tillader en enkelt kodebase at producere binære filer til flere OS-mål. Linux-buildet er funktionsrigt og eksponerer et bredt sæt af muligheder for rekognoscering, dataindsamling og fjernstyring. Et Windows-build er også blevet observeret og ser funktionelt ud til at ligne Linux-varianten; det bruger dog stadig Linux-lignende persistensteknikker (systemd-tjenester), hvilket antyder, at Windows-artefakten kan være ufuldstændig eller under aktiv udvikling.

Funktioner — hvad malwaren kan gøre

Malwarens primære mission er indsamling, eksfiltrering og fjernadgang, hvor kommando-og-kontrol (C2) håndteres via en Telegram-bot (identificeret som @lraterrorsbot, også kendt som 'lrat'). Når ZynorRAT er installeret, modtager den yderligere instruktioner fra botten og udfører opgaver lokalt på offerets vært. Vigtige Linux-funktioner omfatter filgennemsyn og eksfiltrering, systemprofilering, procesliste og -afslutning, skærmbilledeoptagelse, udførelse af vilkårlig kommando og persistens via systemd.

Observerede kommandoslutpunkter (som implementeret i Linux-buildet):

  • /fs_list — opregn mapper
  • /fs_get — fjerner filer fra værten
  • /metrics — udfør systemprofilering
  • /proc_list — kør det tilsvarende af ps for at liste processer
  • /proc_kill — dræb en proces med PID
  • /capture_display — tag skærmbilleder af skærmen
  • /persist — etablerer persistens (systemd-tjeneste)

Kommando og kontrol og distribution — hvordan operatøren kører og spreder det

Telegram er ZynorRATs C2-kanal: malwaren tjekker ind hos @lraterrorsbot-botten og modtager kommandoer via dette medie. Skærmbilleder og andre artefakter, der deles via Telegram-botten, viser nyttelast, der distribueres via en fildelingstjeneste kaldet Dosya.co. Analyse af disse skærmbilleder indikerer, at forfatteren muligvis har brugt maskiner, de kontrollerer, til at teste eller validere funktionalitet (selvinfektion). Brug af en offentlig beskedplatform som Telegram som C2 giver brugervenlighed for operatøren og en vis grad af operationel fleksibilitet, men det skaber også klare indikatorer (bot-håndtag, usædvanlig Telegram-trafik), som forsvarere kan jage efter.

Attribuering og tidslinje — hvad vi med rimelighed kan udlede

Beviser peger på aktivitet, der begyndte den 8. juli 2025. Sproglige artefakter i botchats og anden genvundet tekst tyder på, at operatøren kan være tyrkisk eller i det mindste bruge tyrkiske sprogressourcer, og den nuværende analyse favoriserer en enkelt, sandsynligvis ensom aktør snarere end en gruppeudviklingsindsats. Når det er sagt, bør tilskrivning til en person eller nation forblive forsigtig, indtil yderligere bekræftelse er opnået.

Hvorfor dette er vigtigt – tendenser inden for nyheder og malwareudvikling

Selvom RAT'er er almindelige, er ZynorRAT bemærkelsesværdig, fordi det ser ud til at være en renrumsimplementering (ingen overlap med kendte familier), der implementerer automatiserede, centraliserede kontroller via Telegram. Dens tværplatformsambitioner og brugen af Go fremhæver tendensen til, at relativt små operatører hurtigt producerer kapable multi-OS-værktøjer. Tidligfase-sofistikering her viser, hvor hurtigt nye RAT'er kan opstå og blive anvendt.

Afsluttende vurdering

ZynorRAT repræsenterer et moderne eksempel på en let, men kapabel RAT, der er bygget til implementering på tværs af platforme og administreres via en standardmeddelelsestjeneste. Opdagelsen understreger, at selv enkeltstående operatører hurtigt kan producere fleksible fjernadgangsværktøjer ved hjælp af moderne sprog som Go. Organisationer bør behandle Telegram-baseret C2 og uventet brug af forbrugerfildelingstjenester som højprioriterede søgeresultater, forstærke oprettelsen af tjenester på endpoints og anvende de ovennævnte afhjælpningsforanstaltninger for at reducere eksponering.

Trending

Mest sete

Indlæser...