תוכנה זדונית ZynorRAT

חוקרי אבטחת סייבר זיהו משפחה חדשה של תוכנות זדוניות, המורכבת מטרויאני גישה מרחוק (RAT) שעבר קומפילציה של Go בשם ZynorRAT. השתל מכוון הן למחשבי לינוקס והן למחשבי Windows, מנוהל באמצעות בוט של טלגרם, ובהתבסס על ראיות זמינות - הופיע לראשונה ב-8 ביולי 2025. אנליסטים מדווחים שאין חפיפה בקוד או בהתנהגות עם משפחות קוטלגו בעבר, דבר המצביע על יישום חדש ולא על גרסה של מערך כלים קיים.

פרופיל טכני - שפה, בנייה והערות חוצות פלטפורמות

ZynorRAT מיושם ב-Go, מה שמאפשר לבסיס קוד יחיד לייצר קבצים בינאריים עבור מספר מטרות מערכת הפעלה. בניית לינוקס עשירה בתכונות וחושפת מערך רחב של יכולות לסיור, איסוף נתונים ושליטה מרחוק. בניית Windows נצפתה גם היא ונראית דומה מבחינה פונקציונלית לגרסת לינוקס; עם זאת, היא עדיין משתמשת בטכניקות התמדה בסגנון לינוקס (שירותי systemd), מה שמרמז על כך שארטיפקט Windows עשוי להיות לא שלם או בפיתוח פעיל.

יכולות - מה התוכנה הזדונית יכולה לעשות

המשימה העיקרית של הנוזקה היא איסוף, חילוץ וגישה מרחוק, כאשר פקודה ובקרה (C2) מטופלת באמצעות בוט טלגרם (המזוהה כ-@lraterrorsbot, המכונה 'lrat'). לאחר הפריסה, ZynorRAT מקבל הוראות נוספות מאותו בוט ומבצע משימות באופן מקומי במארח הקורבן. יכולות מפתח בלינוקס כוללות גלישה וחילוץ קבצים, יצירת פרופילי מערכת, רישום וסיום תהליכים, צילום מסך, ביצוע פקודות שרירותיות ותחזוקה באמצעות systemd.

נקודות קצה של פקודה שנצפו (כפי שמיושמות בגרסת הבנייה של לינוקס):

• /fs_list - ספירת ספריות
• /fs_get - חילוץ קבצים מהמארח
• /metrics — לבצע יצירת פרופיל מערכת
• /proc_list - הפעל את המקבילה של ps כדי לרשום תהליכים
• /proc_kill - להרוג תהליך באמצעות PID
• /capture_display - צלם צילומי מסך של התצוגה
• /persist - יצירת קביעה של התמדה (שירות systemd)

פיקוד ובקרה והפצה - כיצד המפעיל מפעיל ומפיץ אותם

טלגרם הוא ערוץ C2 של ZynorRAT: הנוזקה בודקת את הבוט @lraterrorsbot ומקבלת פקודות דרך מדיום זה. צילומי מסך וחפצים אחרים המשותפים דרך בוט הטלגרם מראים מטענים המופצים דרך שירות שיתוף קבצים בשם Dosya.co. ניתוח צילומי המסך הללו מצביע על כך שהמחבר השתמש במכונות שבשליטתו כדי לבדוק או לאמת פונקציונליות (הדבקה עצמית). שימוש בפלטפורמת מסרים ציבורית כמו טלגרם כ-C2 מספק קלות שימוש למפעיל ורמה מסוימת של גמישות תפעולית, אך הוא גם יוצר אינדיקטורים ברורים (זיהוי בוט, תעבורת טלגרם חריגה) שגופי ההגנה יכולים לחפש.

ייחוס וציר זמן - מה שאנחנו יכולים להסיק באופן סביר

ראיות מצביעות על פעילות שהחלה ב-8 ביולי 2025. ממצאי שפה בצ'אטים של הבוטים ובטקסט אחר ששוחזר מצביעים על כך שהמפעיל עשוי להיות טורקי או לפחות משתמש במשאבי שפה טורקית, והניתוח הנוכחי מעדיף שחקן יחיד, ככל הנראה בודד, ולא מאמץ פיתוח קבוצתי. עם זאת, יש להישאר זהירים בנוגע לייחוס לאדם או לאום עד לאימות נוסף.

למה זה חשוב - מגמות פיתוח תוכנות זדוניות וחידושים

למרות ש-RATs נפוצים, ZynorRAT בולטת משום שנראה שהיא יישום חדר נקי (ללא חפיפות עם משפחות ידועות) המיישם בקרות אוטומטיות ומרכזיות דרך טלגרם. שאיפותיה חוצות הפלטפורמות והשימוש ב-Go מדגישים את המגמה של מפעילים קטנים יחסית המייצרים במהירות כלים מרובי מערכות הפעלה בעלי יכולת גבוהה. תחכום בשלב מוקדם כאן מראה כמה מהר RATs חדשים יכולים לצוץ ולהיכנס לשוק.

הערכה מסכמת

ZynorRAT מייצג דוגמה עכשווית ל-RAT קל משקל אך בעל יכולות, שנבנה לפריסה חוצת פלטפורמות ומנוהל באמצעות שירות העברת הודעות מוכן לשימוש. התגלית מדגישה שאפילו מפעילים בודדים יכולים לייצר כלי גישה מרחוק גמישים במהירות באמצעות שפות מודרניות כמו Go. ארגונים צריכים להתייחס ל-C2 מבוסס טלגרם ולשימוש בלתי צפוי בשירותי שיתוף קבצים צרכניים כאל פריטי ציד בעלי עדיפות גבוהה, להקשות על יצירת שירותים בנקודות קצה, וליישם את האמצעים המפחיתים המפורטים לעיל כדי להפחית את החשיפה.