Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra ZynorRAT ļaunprogrammatūra

ZynorRAT ļaunprogrammatūra

Līdz Mezo. gadam Ļaunprātīga programmatūra, Attālās administrēšanas rīki. gadā
Tulkot uz:

Kiberdrošības pētnieki ir identificējuši jaunu ļaunprogrammatūru saimi, kas sastāv no Go kompilēta attālās piekļuves Trojas zirga (RAT), ko sauc par ZynorRAT. Implantāts ir vērsts gan uz Linux, gan Windows resursdatoriem, to pārvalda Telegram robots, un — pamatojoties uz pieejamajiem pierādījumiem — pirmo reizi parādījās 2025. gada 8. jūlijā. Analītiķi neziņo par koda vai uzvedības pārklāšanos ar iepriekš katalogizētām saimēm, kas liecina par jaunu ieviešanu, nevis esoša rīku kopas variantu.

Tehniskais profils — piezīmes par valodu, būvējumu un starpplatformu saderību

ZynorRAT ir ieviests Go valodā, kas ļauj vienai koda bāzei ģenerēt bināros failus vairākiem OS mērķiem. Linux versija ir bagāta ar funkcijām un piedāvā plašu iespēju klāstu izlūkošanai, datu vākšanai un attālinātai vadībai. Ir novērota arī Windows versija, kas funkcionāli atgādina Linux variantu; tomēr tā joprojām izmanto Linux stila saglabāšanas metodes (systemd pakalpojumus), kas norāda, ka Windows artefakts varētu būt nepilnīgs vai aktīvā izstrādē.

Iespējas — ko ļaunprogrammatūra var paveikt

Ļaunprogrammatūras galvenais uzdevums ir datu vākšana, eksfiltrācija un attālināta piekļuve, izmantojot komandu un kontroli (C2), ko veic Telegram robots (identificēts kā @lraterrorsbot, pazīstams arī kā “lrat”). Pēc izvietošanas ZynorRAT saņem turpmākus norādījumus no šī robota un veic uzdevumus lokāli upura resursdatorā. Galvenās Linux iespējas ietver failu pārlūkošanu un eksfiltrāciju, sistēmas profilēšanu, procesu uzskaitīšanu un pārtraukšanu, ekrānuzņēmumu uzņemšanu, patvaļīgu komandu izpildi un saglabāšanu, izmantojot systemd.

Novērotie komandu galapunkti (kā ieviesti Linux versijā):

  • /fs_list — uzskaitīt direktorijus
  • /fs_get — izfiltrēt failus no resursdatora
  • /metrics — veikt sistēmas profilēšanu
  • /proc_list — palaiž ps ekvivalentu, lai uzskaitītu procesus
  • /proc_kill — procesa iznīcināšana pēc PID
  • /capture_display — uzņemt displeja ekrānuzņēmumus
  • /persist — nodibināt noturību (systemd pakalpojums)

Komandvadība un izplatīšana — kā operators to vada un izplata

Telegram ir ZynorRAT C2 kanāls: ļaunprogrammatūra sazinās ar @lraterrorsbot robotu un saņem komandas, izmantojot šo datu nesēju. Ekrānuzņēmumi un citi artefakti, kas kopīgoti, izmantojot Telegram robotu, rāda, ka vērtuma slodze tiek izplatīta, izmantojot failu koplietošanas pakalpojumu Dosya.co. Šo ekrānuzņēmumu analīze liecina, ka autors, iespējams, ir izmantojis mašīnas, kuras viņš kontrolē, lai pārbaudītu vai validētu funkcionalitāti (pašinficēšana). Publiskas ziņojumapmaiņas platformas, piemēram, Telegram, izmantošana kā C2 kanāls nodrošina operatoram lietošanas ērtumu un zināmu darbības elastību, taču tā arī rada skaidrus rādītājus (robota apstrādātājs, neparasta Telegram datplūsma), ko aizstāvji var meklēt.

Attiecinājums un laika grafiks — ko mēs varam pamatoti secināt

Pierādījumi liecina par aktivitātes sākumu 2025. gada 8. jūlijā. Valodas artefakti botu tērzēšanā un citā atgūtajā tekstā liecina, ka operators varētu būt turks vai vismaz izmantot turku valodas resursus, un pašreizējā analīze dod priekšroku vienam, visticamāk, vientuļam spēlētājam, nevis grupas izstrādes centieniem. Tomēr jāatzīmē, ka darbības attiecināšana uz personu vai tautu ir jāveic piesardzīgi, kamēr tiek saņemts turpmāks apstiprinājums.

Kāpēc tas ir svarīgi — jaunums un ļaunprogrammatūras izstrādes tendences

Lai gan RAT ir izplatīti, ZynorRAT ir ievērojams, jo tas, šķiet, ir tīras telpas ieviešana (bez pārklāšanās ar zināmām saimēm), kas ievieš automatizētu, centralizētu vadību, izmantojot Telegram. Tā starpplatformu ambīcijas un Go izmantošana izceļ tendenci, ka relatīvi mazi operatori ātri rada spējīgus vairāku operētājsistēmu rīkus. Agrīnās stadijas sarežģītība šeit parāda, cik ātri var parādīties un tikt ieviesti jauni RAT.

Noslēguma novērtējums

ZynorRAT ir mūsdienīgs viegla, bet spējīga attālās piekļuves rīka (RAT) piemērs, kas izveidots starpplatformu izvietošanai un pārvaldīts, izmantojot standarta ziņojumapmaiņas pakalpojumu. Tā atklājums uzsver, ka pat atsevišķi operatori var ātri izveidot elastīgus attālās piekļuves rīkus, izmantojot modernas valodas, piemēram, Go. Organizācijām Telegram balstīts C2 un negaidīta patērētāju failu koplietošanas pakalpojumu izmantošana jāuztver kā augstas prioritātes meklējami jautājumi, jāpastiprina pakalpojumu izveide galapunktos un jāpielieto iepriekš uzskaitītie mazināšanas pasākumi, lai samazinātu atkarību.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
35,407
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...