قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار بدافزار ZynorRAT

بدافزار ZynorRAT

تا Mezo در بدافزار, ابزارهای مدیریت از راه دور
ترجمه به:

محققان امنیت سایبری یک خانواده بدافزار جدید را شناسایی کرده‌اند که شامل یک تروجان دسترسی از راه دور (RAT) کامپایل شده با زبان برنامه‌نویسی Go به نام ZynorRAT است. این بدافزار میزبان‌های لینوکس و ویندوز را هدف قرار می‌دهد، از طریق یک ربات تلگرام مدیریت می‌شود و - بر اساس شواهد موجود - اولین بار در ۸ ژوئیه ۲۰۲۵ ظاهر شد. تحلیلگران هیچ همپوشانی کد یا رفتاری با خانواده‌های فهرست‌بندی شده قبلی گزارش نمی‌کنند، که نشان می‌دهد پیاده‌سازی جدیدی است و نه نوعی از یک مجموعه ابزار موجود.

مشخصات فنی - زبان، ساخت و یادداشت‌های چند پلتفرمی

ZynorRAT در زبان Go پیاده‌سازی شده است که به یک کدبیس واحد اجازه می‌دهد تا فایل‌های باینری را برای چندین سیستم عامل تولید کند. نسخه لینوکس آن از نظر ویژگی غنی است و مجموعه‌ای گسترده از قابلیت‌ها را برای شناسایی، جمع‌آوری داده‌ها و کنترل از راه دور ارائه می‌دهد. نسخه ویندوز آن نیز مشاهده شده است و از نظر عملکردی مشابه نسخه لینوکس آن به نظر می‌رسد. با این حال، هنوز از تکنیک‌های پایداری به سبک لینوکس (سرویس‌های systemd) استفاده می‌کند، که نشان می‌دهد نسخه ویندوز ممکن است ناقص یا در حال توسعه فعال باشد.

قابلیت‌ها - آنچه بدافزار می‌تواند انجام دهد

ماموریت اصلی این بدافزار جمع‌آوری، استخراج و دسترسی از راه دور است و فرماندهی و کنترل (C2) از طریق یک ربات تلگرام (با نام lraterrorsbot@ یا همان lrat) انجام می‌شود. پس از استقرار، ZynorRAT دستورالعمل‌های بیشتری را از آن ربات دریافت کرده و وظایف را به صورت محلی بر روی میزبان قربانی انجام می‌دهد. قابلیت‌های کلیدی لینوکس شامل مرور و استخراج فایل، پروفایل سیستم، فهرست‌بندی و خاتمه فرآیندها، گرفتن اسکرین‌شات، اجرای دستور دلخواه و ماندگاری از طریق systemd است.

نقاط پایانی فرمان مشاهده شده (همانطور که در نسخه لینوکس پیاده‌سازی شده است):

  • ‎/fs_list — شمارش دایرکتوری‌ها
  • /fs_get — استخراج فایل‌ها از میزبان
  • /metrics — انجام پروفایل سیستم
  • ‎/proc_list — معادل ps را برای فهرست کردن فرآیندها اجرا می‌کند
  • ‎/proc_kill — یک فرآیند را با استفاده از PID از بین می‌برد.
  • /capture_display — از صفحه نمایش اسکرین شات بگیرید
  • /persist — ایجاد پایداری (سرویس systemd)

فرماندهی و کنترل و توزیع - نحوه اجرا و توزیع آن توسط اپراتور

تلگرام کانال فرماندهی و کنترل (C2) بدافزار ZynorRAT است: این بدافزار با ربات @lraterrorsbot ارتباط برقرار می‌کند و دستورات را از طریق آن رسانه دریافت می‌کند. تصاویر و سایر مصنوعات به اشتراک گذاشته شده از طریق ربات تلگرام نشان می‌دهد که بارهای داده از طریق یک سرویس اشتراک فایل به نام Dosya.co توزیع می‌شوند. تجزیه و تحلیل این تصاویر نشان می‌دهد که نویسنده ممکن است از دستگاه‌هایی که کنترل می‌کند برای آزمایش یا اعتبارسنجی عملکرد (خودآلودگی) استفاده کرده باشد. استفاده از یک پلتفرم پیام‌رسان عمومی مانند تلگرام به عنوان C2، سهولت استفاده را برای اپراتور و سطحی از انعطاف‌پذیری عملیاتی فراهم می‌کند، اما همچنین شاخص‌های واضحی (دسته‌بندی ربات، ترافیک غیرمعمول تلگرام) ایجاد می‌کند که مدافعان می‌توانند آنها را شکار کنند.

انتساب و جدول زمانی - آنچه می‌توانیم به طور منطقی استنباط کنیم

شواهد نشان می‌دهد که فعالیت از ۸ ژوئیه ۲۰۲۵ آغاز شده است. آثار زبانی در چت‌های ربات و سایر متون بازیابی شده نشان می‌دهد که اپراتور ممکن است ترک باشد یا حداقل از منابع زبان ترکی استفاده کند، و تحلیل‌های فعلی، یک عامل واحد و احتمالاً تک‌نفره را به جای یک تلاش توسعه گروهی ترجیح می‌دهد. با این اوصاف، انتساب به یک شخص یا کشور باید تا زمان تأیید بیشتر، محتاطانه باشد.

چرا این موضوع مهم است - نوآوری و روندهای توسعه بدافزار

اگرچه RATها رایج هستند، اما ZynorRAT قابل توجه است زیرا به نظر می‌رسد یک پیاده‌سازی Clean-Room (بدون همپوشانی با خانواده‌های شناخته‌شده) است که کنترل‌های خودکار و متمرکز را از طریق تلگرام پیاده‌سازی می‌کند. جاه‌طلبی‌های چند پلتفرمی آن و استفاده از Go، روند اپراتورهای نسبتاً کوچک را که به سرعت ابزارهای چند سیستم عامل توانمند تولید می‌کنند، برجسته می‌کند. پیچیدگی مراحل اولیه در اینجا نشان می‌دهد که RATهای جدید چقدر سریع می‌توانند ظهور و به کار گرفته شوند.

ارزیابی نهایی

ZynorRAT نمونه‌ای معاصر از یک RAT سبک اما توانمند است که برای استقرار بین پلتفرمی ساخته شده و از طریق یک سرویس پیام‌رسان آماده مدیریت می‌شود. کشف آن تأکید می‌کند که حتی اپراتورهای منفرد نیز می‌توانند با استفاده از زبان‌های مدرن مانند Go، ابزارهای دسترسی از راه دور انعطاف‌پذیری را به سرعت تولید کنند. سازمان‌ها باید C2 مبتنی بر تلگرام و استفاده غیرمنتظره از سرویس‌های اشتراک فایل مصرفی را به عنوان موارد جستجوی با اولویت بالا در نظر بگیرند، ایجاد سرویس در نقاط پایانی را سخت‌تر کنند و اقدامات کاهشی ذکر شده در بالا را برای کاهش قرار گرفتن در معرض خطر اعمال کنند.

پرطرفدار

Miaiw Qoaks by Suproa Tm Asjs

برنامه های بالقوه ناخواسته, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
محافظت از دستگاه شما در برابر برنامه‌های مزاحم برای تضمین امنیت و عملکرد آن حیاتی است. در میان بسیاری از برنامه‌های ناخواسته (PUP) که توسط کارشناسان امنیت سایبری مورد تجزیه و تحلیل قرار گرفته‌اند،...

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
35,407
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...