Ponuda s popustom na više licenci
Baza prijetnji Malware Zlonamjerni softver ZynorRAT

Zlonamjerni softver ZynorRAT

Do Mezo. Malware, Alati za udaljenu administraciju. godine
Prevedi na:

Istraživači kibernetičke sigurnosti identificirali su novu obitelj zlonamjernog softvera koja se sastoji od trojanca za udaljeni pristup (RAT) kompiliranog putem Goa, nazvanog ZynorRAT. Implant cilja i Linux i Windows hostove, njime se upravlja putem Telegram bota i - na temelju dostupnih dokaza - prvi put se pojavio 8. srpnja 2025. Analitičari izvještavaju da nema preklapanja koda ili ponašanja s prethodno katalogiziranim obiteljima, što sugerira novu implementaciju, a ne varijantu postojećeg skupa alata.

Tehnički profil — bilješke o jeziku, izradi i višeplatformskoj kompatibilnosti

ZynorRAT je implementiran u Gou, što omogućuje jednoj kodnoj bazi izradu binarnih datoteka za više ciljnih OS-ova. Linux verzija je bogata značajkama i pruža širok skup mogućnosti za izviđanje, prikupljanje podataka i daljinsko upravljanje. Također je uočena Windows verzija koja se čini funkcionalno slično Linux varijanti; međutim, i dalje koristi tehnike perzistencije u Linux stilu (systemd usluge), što implicira da Windows artefakt možda nije potpun ili je u aktivnom razvoju.

Mogućnosti — što zlonamjerni softver može učiniti

Primarna misija zlonamjernog softvera je prikupljanje, izvlačenje podataka i udaljeni pristup, a Command-and-Control (C2) se obavlja putem Telegram bota (identificiranog kao @lraterrorsbot, također poznatog kao 'lrat'). Nakon implementacije, ZynorRAT prima daljnje upute od tog bota i izvršava zadatke lokalno na zaraženom hostu. Ključne Linux mogućnosti uključuju pregledavanje i izvlačenje datoteka, profiliranje sustava, popisivanje i prekid procesa, snimanje zaslona, izvršavanje proizvoljnih naredbi i perzistentnost putem systemd-a.

Promatrane krajnje točke naredbi (kako je implementirano u Linux verziji):

  • /fs_list — nabrajanje direktorija
  • /fs_get — izdvaja datoteke s hosta
  • /metrics — izvrši profiliranje sustava
  • /proc_list — pokreće ekvivalent ps naredbe za popisivanje procesa
  • /proc_kill — prekida proces prema PID-u
  • /capture_display — snimiti zaslon zaslona
  • /persist — uspostavi perzistentnost (systemd servis)

Zapovijedanje i kontrola te distribucija — kako operater upravlja i širi

Telegram je ZynorRAT-ov C2 kanal: zlonamjerni softver se prijavljuje botu @lraterrorsbot i prima naredbe putem tog medija. Snimke zaslona i drugi artefakti dijeljeni putem Telegram bota pokazuju da se korisni sadržaji distribuiraju putem usluge dijeljenja datoteka pod nazivom Dosya.co. Analiza tih snimaka zaslona ukazuje na to da je autor možda koristio strojeve koje kontrolira za testiranje ili validaciju funkcionalnosti (samoinfekcija). Korištenje javne platforme za razmjenu poruka poput Telegrama kao C2 pruža jednostavnost korištenja za operatera i određenu razinu operativne fleksibilnosti, ali također stvara jasne pokazatelje (bot handle, neobičan Telegram promet) koje branitelji mogu tražiti.

Atribucija i vremenska crta — što možemo razumno zaključiti

Dokazi ukazuju na aktivnost koja je započela 8. srpnja 2025. Jezični artefakti u chatovima botova i drugom pronađenom tekstu sugeriraju da bi operater mogao biti Turčin ili barem koristiti resurse turskog jezika, a trenutna analiza favorizira jednog, vjerojatno usamljenog aktera, a ne grupni razvojni napor. Uz to, pripisivanje osobi ili naciji trebalo bi ostati oprezno dok se ne potvrde daljnje informacije.

Zašto je ovo važno — novosti i trendovi razvoja zlonamjernog softvera

Iako su RAT-ovi uobičajeni, ZynorRAT je značajan jer se čini kao implementacija čiste sobe (bez preklapanja s poznatim obiteljima) koja implementira automatizirane, centralizirane kontrole putem Telegrama. Njegove ambicije za više platformi i korištenje Goa ističu trend relativno malih operatera koji brzo proizvode sposobne alate za više operativnih sustava. Sofisticiranost u ranoj fazi ovdje pokazuje koliko se brzo novi RAT-ovi mogu pojaviti i primijeniti.

Zaključna procjena

ZynorRAT predstavlja suvremeni primjer laganog, ali sposobnog RAT-a izgrađenog za implementaciju na više platformi i kojim se upravlja putem gotove usluge razmjene poruka. Njegovo otkriće naglašava da čak i pojedinačni operateri mogu brzo izraditi fleksibilne alate za udaljeni pristup koristeći moderne jezike poput Goa. Organizacije bi trebale tretirati C2 temeljen na Telegramu i neočekivanu upotrebu usluga dijeljenja datoteka za potrošače kao stavke visokog prioriteta, ojačati stvaranje usluga na krajnjim točkama i primijeniti gore navedene mjere ublažavanja kako bi smanjile izloženost.

U trendu

Nagledanije

Učitavam...