다중 라이센스 할인 견적
위협 데이터베이스 멀웨어 ZynorRAT 맬웨어

ZynorRAT 맬웨어

멀웨어, 원격 관리 도구년에 Mezo 년까지
번역 :

사이버 보안 연구원들이 Go 언어로 컴파일된 원격 접속 트로이 목마(RAT)인 ZynorRAT으로 구성된 새로운 악성코드군을 발견했습니다. 이 악성코드는 리눅스와 윈도우 호스트 모두를 표적으로 하며, 텔레그램 봇을 통해 관리됩니다. 입수 가능한 증거에 따르면 2025년 7월 8일에 처음 발견되었습니다. 분석가들은 이전에 분류된 악성코드군과 코드나 동작 방식이 겹치지 않는다고 보고하며, 이는 기존 툴셋의 변형이 아닌 새로운 구현 방식을 시사합니다.

기술 프로필 - 언어, 빌드 및 크로스 플랫폼 참고 사항

ZynorRAT은 Go 언어로 구현되어 단일 코드베이스로 여러 OS 대상 바이너리를 생성할 수 있습니다. Linux 빌드는 기능이 풍부하며 정찰, 데이터 수집 및 원격 제어를 위한 광범위한 기능을 제공합니다. Windows 빌드도 확인되었으며 Linux 버전과 기능적으로 유사해 보입니다. 하지만 여전히 Linux 스타일의 지속성 기술(systemd 서비스)을 사용하므로 Windows 아티팩트가 아직 완성되지 않았거나 개발 중일 가능성이 있습니다.

기능 - 맬웨어가 할 수 있는 일

이 악성코드의 주요 임무는 수집, 유출, 그리고 원격 접근이며, 명령 및 제어(C2)는 텔레그램 봇(@lraterrorsbot, 일명 'lrat')을 통해 처리됩니다. ZynorRAT은 배포되면 해당 봇으로부터 추가 명령을 받아 피해자 호스트에서 로컬로 작업을 수행합니다. 주요 Linux 기능으로는 파일 탐색 및 유출, 시스템 프로파일링, 프로세스 목록 작성 및 종료, 스크린샷 캡처, 임의 명령 실행, 그리고 systemd를 통한 지속성 유지 등이 있습니다.

관찰된 명령 엔드포인트(Linux 빌드에 구현된 대로):

  • /fs_list — 디렉토리 열거
  • /fs_get — 호스트에서 파일을 추출합니다.
  • /metrics — 시스템 프로파일링 수행
  • /proc_list — ps와 동일한 명령을 실행하여 프로세스를 나열합니다.
  • /proc_kill — PID로 프로세스를 종료합니다.
  • /capture_display — 디스플레이의 스크린샷을 찍습니다.
  • /persist — 지속성 설정(systemd 서비스)

명령 및 제어 및 배포 - 운영자가 이를 실행하고 확산하는 방법

텔레그램은 ZynorRAT의 C2 채널입니다. 이 악성코드는 @lraterrorsbot 봇에 접속하여 해당 매체를 통해 명령을 수신합니다. 텔레그램 봇을 통해 공유된 스크린샷 및 기타 아티팩트는 Dosya.co라는 파일 공유 서비스를 통해 페이로드가 배포되는 것을 보여줍니다. 이러한 스크린샷 분석 결과, 제작자는 자신이 제어하는 기기를 사용하여 기능을 테스트하거나 검증(자가 감염)했을 가능성이 있습니다. 텔레그램과 같은 공개 메시징 플랫폼을 C2 채널로 사용하면 운영자의 사용 편의성과 어느 정도의 운영 유연성을 확보할 수 있지만, 방어자가 추적할 수 있는 명확한 지표(봇 핸들, 비정상적인 텔레그램 트래픽)도 생성됩니다.

귀속 및 타임라인 - 우리가 합리적으로 추론할 수 있는 것

증거는 2025년 7월 8일부터 활동이 시작되었음을 시사합니다. 봇 채팅과 기타 복구된 텍스트에 나타난 언어적 아티팩트는 해당 운영자가 터키인이거나 최소한 터키어 리소스를 사용했을 가능성을 시사하며, 현재 분석 결과는 집단적인 개발보다는 단독으로 활동했을 가능성이 높습니다. 하지만 추가적인 증거가 확보될 때까지 특정 개인이나 국가에 대한 공격 가능성은 신중하게 검토해야 합니다.

이것이 중요한 이유 - 참신성과 맬웨어 개발 동향

RAT는 흔하지만, ZynorRAT는 텔레그램을 통해 자동화되고 중앙 집중화된 제어를 구현하는 클린룸 구현(기존 제품군과 중복 없음)으로 보이기 때문에 주목할 만합니다. 크로스 플랫폼 지원에 대한 야심과 Go 언어 사용은 비교적 소규모 사업자들이 유능한 다중 OS 툴을 빠르게 개발하는 추세를 보여줍니다. 이러한 초기 단계의 정교함은 새로운 RAT가 얼마나 빠르게 등장하고 현장에 적용될 수 있는지를 보여줍니다.

결론 평가

ZynorRAT은 크로스 플랫폼 배포를 위해 구축되고 기성 메시징 서비스를 통해 관리되는 가볍지만 강력한 RAT의 현대적인 사례입니다. 이 발견은 단일 운영자도 Go와 같은 최신 언어를 사용하여 유연한 원격 액세스 도구를 신속하게 개발할 수 있음을 보여줍니다. 조직은 Telegram 기반 C2 및 소비자 파일 공유 서비스의 예상치 못한 사용을 최우선 순위로 처리하고, 엔드포인트에서 서비스 생성을 강화하며, 위에 나열된 완화 조치를 적용하여 노출을 줄여야 합니다.

트렌드

Suproa Tm Asjs의 Miaiw Qoaks

잠재적으로 원하지 않는 프로그램, 애드웨어, 브라우저 하이재커
침입 애플리케이션으로부터 기기를 보호하는 것은 보안과 성능 모두에 필수적입니다. 사이버 보안 전문가들이 분석한 수많은 잠재적 원치 않는 프로그램(PUP) 중 특히 우려되는 사례 중 하나는 Suproa Tm Asjs의 Miaiw Qoaks입니다. 유용한 소프트웨어라고 홍보하지만, 이 앱은 실질적인 이점을 제공하지 않습니다. 오히려 개인 정보 보호,...

가짜 키타 웹사이트 사기

불량 웹사이트
디지털 기술의 급속한 발전은 수많은 기회를 창출했지만, 동시에 온라인 사기 또한 전례 없는 수준으로 증가했습니다. 사이버 범죄자들은 유명 브랜드와 블록체인 프로젝트를 지속적으로 악용하여 의심하지 않는 피해자들을 사기 수법으로 유인합니다. 이러한 사례 중 하나는 가짜 키타 웹사이트 사기로, 공격자들이 합법적인 키타 네트워크를 사칭하여 사용자의 암호화폐를...

Madstudiyo.com

애드웨어
인터넷은 풍부한 자원으로 가득 차 있지만, 의심하지 않는 방문자를 착취하기 위해 고안된 사기성 웹사이트도 존재합니다. Madstudiyo.com과 같은 페이지는 합법적인 사이트로 위장하면서 사용자를 속여 악성 브라우저 알림을 활성화하고 추가적인 위험에 노출시키려고 은밀히 시도합니다. 온라인에서 안전을 유지하려면 이러한 사기의 작동 방식을 이해하는 것이...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
56,727
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...

Discord가 회색 화면에 멈춤

문제
43,401
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
43,332
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...