ZynorRAT Malware
Penyelidik keselamatan siber telah mengenal pasti keluarga perisian hasad baru, yang terdiri daripada trojan akses jauh (RAT) yang disusun Go yang digelar ZynorRAT. Implan menyasarkan kedua-dua hos Linux dan Windows, diuruskan melalui bot Telegram, dan — berdasarkan bukti yang ada — mula-mula muncul pada 8 Julai 2025. Penganalisis melaporkan tiada kod atau pertindihan tingkah laku dengan keluarga yang dikatalogkan sebelum ini, mencadangkan pelaksanaan baharu dan bukannya varian set alat sedia ada.
Isi kandungan
Profil teknikal — bahasa, binaan dan nota merentas platform
ZynorRAT dilaksanakan dalam Go, yang membolehkan satu pangkalan kod menghasilkan binari untuk berbilang sasaran OS. Binaan Linux kaya dengan ciri dan mendedahkan satu set luas keupayaan untuk peninjauan, pengumpulan data dan alat kawalan jauh. Binaan Windows juga telah diperhatikan dan kelihatan berfungsi serupa dengan varian Linux; walau bagaimanapun, ia masih menggunakan teknik kegigihan gaya Linux (perkhidmatan systemd), membayangkan artifak Windows mungkin tidak lengkap atau dalam pembangunan aktif.
Keupayaan — perkara yang boleh dilakukan oleh perisian hasad
Misi utama perisian hasad ialah pengumpulan, exfiltration dan akses jauh, dengan Command-and-Control (C2) dikendalikan melalui bot Telegram (dikenal pasti sebagai @lraterrorsbot, aka 'lrat'). Setelah digunakan, ZynorRAT menerima arahan lanjut daripada bot tersebut dan melaksanakan tugas secara setempat pada hos mangsa. Keupayaan Linux utama termasuk menyemak imbas dan exfiltration fail, pemprofilan sistem, penyenaraian dan penamatan proses, tangkapan skrin, pelaksanaan arahan sewenang-wenangnya, dan ketekunan melalui systemd.
Titik akhir arahan yang diperhatikan (seperti yang dilaksanakan dalam binaan Linux):
- /fs_list — menghitung direktori
- /fs_get — keluarkan fail daripada hos
- /metrics — lakukan pemprofilan sistem
- /proc_list — jalankan setara dengan ps untuk menyenaraikan proses
- /proc_kill — membunuh proses oleh PID
- /capture_display — ambil tangkapan skrin paparan
- /persist — wujudkan kegigihan (perkhidmatan systemd)
Perintah-dan-kawalan dan pengedaran — cara pengendali menjalankan dan menyebarkannya
Telegram ialah saluran C2 ZynorRAT: perisian hasad mendaftar masuk dengan bot @lraterrorsbot dan menerima arahan melalui medium tersebut. Tangkapan skrin dan artifak lain yang dikongsi melalui bot Telegram menunjukkan muatan diedarkan melalui perkhidmatan perkongsian fail yang dipanggil Dosya.co. Analisis tangkapan skrin tersebut menunjukkan pengarang mungkin telah menggunakan mesin yang mereka kawal untuk menguji atau mengesahkan kefungsian (jangkitan diri). Menggunakan platform pemesejan awam seperti Telegram sebagai C2 menyediakan kemudahan penggunaan untuk pengendali dan beberapa tahap fleksibiliti operasi, tetapi ia juga mewujudkan penunjuk yang jelas (pengendali bot, trafik Telegram luar biasa) yang boleh diburu oleh pembela.
Atribusi dan garis masa — perkara yang boleh kami simpulkan secara munasabah
Bukti menunjukkan aktiviti bermula pada 8 Julai 2025. Artifak bahasa dalam sembang bot dan teks pulih lain mencadangkan pengendali mungkin Turki atau sekurang-kurangnya menggunakan sumber bahasa Turki, dan analisis semasa memihak kepada seorang pelakon yang berkemungkinan bersendirian daripada usaha pembangunan kumpulan. Yang berkata, atribusi kepada seseorang atau negara harus kekal berhati-hati sementara menunggu pengesahan selanjutnya.
Mengapa ini penting — trend pembangunan kebaharuan dan perisian hasad
Walaupun RAT adalah perkara biasa, ZynorRAT terkenal kerana ia kelihatan seperti pelaksanaan bilik bersih (tiada pertindihan dengan keluarga yang diketahui) yang melaksanakan kawalan terpusat automatik melalui Telegram. Cita-cita merentas platformnya dan penggunaan Go menyerlahkan trend pengendali yang agak kecil yang menghasilkan perkakasan berbilang OS yang berkebolehan dengan cepat. Kecanggihan peringkat awal di sini menunjukkan betapa pantasnya RAT baru boleh muncul dan diturunkan.
Penilaian penutup
ZynorRAT mewakili contoh kontemporari RAT yang ringan tetapi berkemampuan yang dibina untuk penggunaan merentas platform dan diuruskan melalui perkhidmatan pemesejan di luar rak. Penemuannya menggariskan bahawa walaupun pengendali tunggal boleh menghasilkan alat capaian jauh yang fleksibel dengan cepat menggunakan bahasa moden seperti Go. Organisasi harus menganggap C2 berasaskan Telegram dan penggunaan perkhidmatan perkongsian fail pengguna yang tidak dijangka sebagai item pencarian keutamaan tinggi, mengeraskan penciptaan perkhidmatan pada titik akhir dan menggunakan mitigasi yang disenaraikan di atas untuk mengurangkan pendedahan.
