„ZynorRAT“ kenkėjiška programa
Kibernetinio saugumo tyrėjai nustatė naują kenkėjiškų programų šeimą, kurią sudaro „Go“ kompiliuojamas nuotolinės prieigos Trojos arklys (RAT), pavadintas „ZynorRAT“. Implantas skirtas tiek „Linux“, tiek „Windows“ kompiuteriams, yra valdomas per „Telegram“ robotą ir, remiantis turimais įrodymais, pirmą kartą pasirodė 2025 m. liepos 8 d. Analitikai nepraneša apie jokio kodo ar elgsenos sutapimo su anksčiau kataloguotomis šeimomis, o tai rodo naują įdiegimą, o ne esamo įrankių rinkinio variantą.
Turinys
Techninis profilis – kalbos, kompiliavimo ir skirtingų platformų pastabos
„ZynorRAT“ įdiegta „Go“ aplinkoje, todėl viena kodo bazė gali kurti dvejetainius failus keliems OS taikiniams. „Linux“ versija yra funkcionali ir siūlo platų žvalgybos, duomenų rinkimo ir nuotolinio valdymo galimybių rinkinį. Taip pat buvo pastebėta „Windows“ versija, kuri funkciškai panaši į „Linux“ variantą; tačiau ji vis dar naudoja „Linux“ stiliaus išsaugojimo metodus („systemd“ paslaugas), o tai reiškia, kad „Windows“ artefaktas gali būti nebaigtas arba aktyviai kuriamas.
Galimybės – ką gali padaryti kenkėjiška programa
Pagrindinė kenkėjiškos programos misija – rinkti, išfiltruoti ir suteikti nuotolinę prieigą, o komandų ir valdymo (C2) funkciją vykdo „Telegram“ robotas (identifikuojamas kaip @lraterrorsbot, dar žinomas kaip „lrat“). Diegęs „ZynorRAT“, jis gauna tolesnes instrukcijas iš šio roboto ir atlieka užduotis lokaliai aukos kompiuteryje. Pagrindinės „Linux“ funkcijos apima failų naršymą ir išfiltravimą, sistemos profiliavimą, procesų sąrašo sudarymą ir nutraukimą, ekrano kopijų darymą, savavališką komandų vykdymą ir duomenų išsaugojimą per „systemd“.
Stebimi komandų galiniai taškai (kaip įdiegta „Linux“ versijoje):
- /fs_list — išvardija katalogus
- /fs_get — išfiltruoti failus iš pagrindinio kompiuterio
- /metrics — atlikti sistemos profiliavimą
- /proc_list — paleisti ps atitikmenį, kad būtų išvardyti procesai
- /proc_kill — užbaigti procesą pagal PID
- /capture_display — padaryti ekrano kopijas iš ekrano
- /persist — nustatyti išlikimą (systemd paslauga)
Valdymas ir kontrolė bei paskirstymas – kaip operatorius tai vykdo ir platina
„Telegram“ yra „ZynorRAT“ C2 kanalas: kenkėjiška programa susisiekia su robotu „@lraterrorsbot“ ir per jį gauna komandas. Ekrano kopijos ir kiti per „Telegram“ robotą bendrinami artefaktai rodo, kad naudingoji informacija platinama per failų bendrinimo paslaugą „Dosya.co“. Šių ekrano kopijų analizė rodo, kad autorius galėjo naudoti savo valdomus įrenginius funkcionalumui patikrinti arba patvirtinti (savarankiškam užkrėtimui). Viešosios pranešimų platformos, tokios kaip „Telegram“, naudojimas kaip C2 kanalas suteikia operatoriui paprastą naudojimą ir tam tikrą operacinį lankstumą, tačiau taip pat sukuria aiškius rodiklius (roboto identifikatorius, neįprastas „Telegram“ srautas), kuriuos gynėjai gali ieškoti.
Priskyrimas ir laiko juosta – ką galime pagrįstai daryti išvadą
Įrodymai rodo, kad veikla prasidėjo 2025 m. liepos 8 d. Kalbos artefaktai robotų pokalbiuose ir kitame atkurtame tekste rodo, kad operatorius gali būti turkas arba bent jau naudoti turkų kalbos išteklius, o dabartinė analizė rodo, kad tai galėjo būti vienas, greičiausiai pavienis veikėjas, o ne grupinės kūrimo pastangos. Nepaisant to, priskyrimas asmeniui ar tautai turėtų būti atsargus, kol bus gautas tolesnis patvirtinimas.
Kodėl tai svarbu – naujumas ir kenkėjiškų programų kūrimo tendencijos
Nors RAT yra dažni, „ZynorRAT“ išsiskiria tuo, kad atrodo kaip „švarios patalpos“ įgyvendinimas (nesutampa su žinomomis šeimomis), įgyvendinantis automatizuotą, centralizuotą valdymą per „Telegram“. Jos ambicijos veikti keliose platformose ir „Go“ naudojimas pabrėžia tendenciją, kad santykinai maži operatoriai greitai sukuria pajėgias kelių OS priemones. Ankstyvosios stadijos sudėtingumas rodo, kaip greitai gali atsirasti ir būti naudojamos naujos RAT sistemos.
Baigiamasis vertinimas
„ZynorRAT“ yra šiuolaikiškas lengvos, bet pajėgios nuotolinės prieigos prieigos priemonės, sukurtos diegti keliose platformose ir valdomos naudojant standartinę pranešimų siuntimo paslaugą, pavyzdys. Jos atradimas pabrėžia, kad net ir pavieniai operatoriai gali greitai sukurti lanksčias nuotolinės prieigos priemones, naudodami modernias programavimo kalbas, tokias kaip „Go“. Organizacijos turėtų „Telegram“ pagrindu veikiančią C2 ir netikėtą vartotojų failų bendrinimo paslaugų naudojimą laikyti prioritetiniais paieškos elementais, sustiprinti paslaugų kūrimą galiniuose įrenginiuose ir taikyti aukščiau išvardytas priemones, kad sumažintų riziką.
