ZynorRAT kártevő
Kiberbiztonsági kutatók azonosítottak egy új kártevőcsaládot, amely egy Go-val fordított távoli hozzáférésű trójai (RAT), a ZynorRAT. A beültetett program Linux és Windows rendszereket egyaránt céloz, egy Telegram bot kezeli, és – a rendelkezésre álló bizonyítékok alapján – először 2025. július 8-án jelent meg. Az elemzők nem számoltak be kódbeli vagy viselkedésbeli átfedésről a korábban katalogizált családokkal, ami egy új implementációra utal, nem pedig egy meglévő eszközkészlet egy változatára.
Tartalomjegyzék
Technikai profil – nyelvi, build és platformfüggetlenségi megjegyzések
A ZynorRAT Go nyelven valósul meg, ami lehetővé teszi egyetlen kódbázisból bináris fájlok létrehozását több operációs rendszer célállomáshoz. A Linux-build funkciókban gazdag, és széleskörű képességeket kínál a felderítéshez, az adatgyűjtéshez és a távvezérléshez. Egy Windows-build is megjelent, amely funkcionálisan hasonlónak tűnik a Linux-változathoz; azonban továbbra is Linux-stílusú perzisztencia-technikákat (systemd szolgáltatások) használ, ami arra utal, hogy a Windows-os műtermék hiányos lehet vagy aktív fejlesztés alatt áll.
Képességek – mire képes a rosszindulatú program
A kártevő elsődleges küldetése a gyűjtés, a kiszűrés és a távoli hozzáférés, a Command-and-Control (C2) funkciót pedig egy Telegram bot (@lraterrorsbot, más néven 'lrat') kezeli. A telepítést követően a ZynorRAT további utasításokat kap a bottól, és helyben, az áldozat gépén hajtja végre a feladatokat. A főbb Linux képességek közé tartozik a fájlok böngészése és kiszűrése, a rendszerprofilozás, a folyamatok listázása és leállítása, a képernyőképek készítése, az önkényes parancsok végrehajtása és a systemd-n keresztüli adatmegőrzés.
Megfigyelt parancsvégpontok (ahogyan a Linux buildben megvalósítva):
- /fs_list — könyvtárak felsorolása
- /fs_get — fájlok kiszivárogtatása a gazdagépről
- /metrics — rendszerprofilozás végrehajtása
- /proc_list — a ps parancsnak megfelelő parancs futtatása a folyamatok listázásához
- /proc_kill — folyamat leállítása PID alapján
- /capture_display — képernyőképeket készít a kijelzőről
- /persist — perzisztencia létrehozása (systemd szolgáltatás)
Parancs- és irányítástechnika, valamint elosztás – hogyan futtatja és terjeszti el az operátor
A Telegram a ZynorRAT C2 csatornája: a rosszindulatú program bejelentkezik az @lraterrorsbot bottal, és ezen a csatornán keresztül fogadja a parancsokat. A Telegram boton keresztül megosztott képernyőképek és egyéb leletek azt mutatják, hogy a hasznos adatokat egy Dosya.co nevű fájlmegosztó szolgáltatáson keresztül terjesztik. Ezen képernyőképek elemzése azt sugallja, hogy a szerző esetleg az általa irányított gépeket használta a funkciók tesztelésére vagy validálására (önfertőzés). Egy nyilvános üzenetküldő platform, mint például a Telegram C2 csatornáként való használata egyszerű használatot és bizonyos fokú működési rugalmasságot biztosít a kezelő számára, de egyértelmű jelzéseket is hoz létre (botazonosító, szokatlan Telegram forgalom), amelyeket a védők kereshetnek.
Tulajdonítás és idővonal – amire ésszerűen következtethetünk
A bizonyítékok arra utalnak, hogy a tevékenység 2025. július 8-án kezdődött. A botcsevegésekben és más visszakeresett szövegekben található nyelvi leletek arra utalnak, hogy az operátor török lehet, vagy legalábbis török nyelvi forrásokat használ, és a jelenlegi elemzés egyetlen, valószínűleg magányos szereplőt támogat, nem pedig csoportos fejlesztői erőfeszítést. Ennek ellenére a személyhez vagy nemzethez való hozzárendelést óvatosan kell mérlegelni a további megerősítésig.
Miért fontos ez – újdonságok és rosszindulatú programok fejlesztési trendjei
Bár a RAT-ok gyakoriak, a ZynorRAT azért figyelemre méltó, mert egy tisztaszoba implementációnak tűnik (nincsenek átfedések az ismert családokkal), amely automatizált, központosított vezérléseket valósít meg a Telegramon keresztül. Platformfüggetlensége és a Go használata rávilágít arra a trendre, hogy a viszonylag kis operátorok gyorsan képesek hatékony, több operációs rendszeren futó eszközöket előállítani. A korai szakaszban tapasztalható kifinomultság itt azt mutatja, hogy milyen gyorsan jelenhetnek meg és kerülhetnek alkalmazásra az új RAT-ok.
Záró értékelés
A ZynorRAT egy kortárs példa a könnyűsúlyú, de sokoldalú RAT-okra, amelyeket platformfüggetlen telepítésre terveztek, és egy kész üzenetküldő szolgáltatáson keresztül kezelnek. Felfedezése rávilágít arra, hogy még egyetlen üzemeltető is képes rugalmas távoli elérési eszközöket gyorsan létrehozni modern nyelvek, például a Go használatával. A szervezeteknek a Telegram-alapú C2-t és a fogyasztói fájlmegosztó szolgáltatások váratlan használatát kiemelt fontosságú keresési elemként kell kezelniük, meg kell erősíteniük a szolgáltatások létrehozását a végpontokon, és alkalmazniuk kell a fent felsorolt mérséklési intézkedéseket a kitettség csökkentése érdekében.
