ZynorRat ਮਾਲਵੇਅਰ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਨਵੇਂ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਜਿਸ ਵਿੱਚ ਇੱਕ ਗੋ-ਕੰਪਾਈਲਡ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ (RAT) ਸ਼ਾਮਲ ਹੈ ਜਿਸਨੂੰ ZynorRAT ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਇਮਪਲਾਂਟ ਲੀਨਕਸ ਅਤੇ ਵਿੰਡੋਜ਼ ਦੋਵਾਂ ਹੋਸਟਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ, ਇੱਕ ਟੈਲੀਗ੍ਰਾਮ ਬੋਟ ਦੁਆਰਾ ਪ੍ਰਬੰਧਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਅਤੇ - ਉਪਲਬਧ ਸਬੂਤਾਂ ਦੇ ਅਧਾਰ ਤੇ - ਪਹਿਲੀ ਵਾਰ 8 ਜੁਲਾਈ, 2025 ਨੂੰ ਪ੍ਰਗਟ ਹੋਇਆ ਸੀ। ਵਿਸ਼ਲੇਸ਼ਕ ਪਹਿਲਾਂ ਸੂਚੀਬੱਧ ਪਰਿਵਾਰਾਂ ਨਾਲ ਕੋਈ ਕੋਡ ਜਾਂ ਵਿਵਹਾਰਕ ਓਵਰਲੈਪ ਦੀ ਰਿਪੋਰਟ ਨਹੀਂ ਕਰਦੇ ਹਨ, ਜੋ ਮੌਜੂਦਾ ਟੂਲਸੈੱਟ ਦੇ ਰੂਪ ਦੀ ਬਜਾਏ ਇੱਕ ਨਵੇਂ ਲਾਗੂਕਰਨ ਦਾ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ।

ਤਕਨੀਕੀ ਪ੍ਰੋਫਾਈਲ — ਭਾਸ਼ਾ, ਨਿਰਮਾਣ, ਅਤੇ ਕਰਾਸ-ਪਲੇਟਫਾਰਮ ਨੋਟਸ

ZynorRAT ਨੂੰ Go ਵਿੱਚ ਲਾਗੂ ਕੀਤਾ ਗਿਆ ਹੈ, ਜੋ ਇੱਕ ਸਿੰਗਲ ਕੋਡਬੇਸ ਨੂੰ ਕਈ OS ਟਾਰਗਿਟਾਂ ਲਈ ਬਾਈਨਰੀ ਤਿਆਰ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। Linux ਬਿਲਡ ਵਿਸ਼ੇਸ਼ਤਾ ਨਾਲ ਭਰਪੂਰ ਹੈ ਅਤੇ ਖੋਜ, ਡੇਟਾ ਸੰਗ੍ਰਹਿ ਅਤੇ ਰਿਮੋਟ ਕੰਟਰੋਲ ਲਈ ਸਮਰੱਥਾਵਾਂ ਦੇ ਇੱਕ ਵਿਸ਼ਾਲ ਸਮੂਹ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ। ਇੱਕ Windows ਬਿਲਡ ਵੀ ਦੇਖਿਆ ਗਿਆ ਹੈ ਅਤੇ ਇਹ Linux ਵੇਰੀਐਂਟ ਦੇ ਸਮਾਨ ਕਾਰਜਸ਼ੀਲ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ; ਹਾਲਾਂਕਿ, ਇਹ ਅਜੇ ਵੀ Linux-ਸ਼ੈਲੀ ਦੀ ਸਥਿਰਤਾ ਤਕਨੀਕਾਂ (systemd ਸੇਵਾਵਾਂ) ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਜਿਸਦਾ ਅਰਥ ਹੈ ਕਿ Windows ਆਰਟੀਫੈਕਟ ਅਧੂਰਾ ਜਾਂ ਸਰਗਰਮ ਵਿਕਾਸ ਅਧੀਨ ਹੋ ਸਕਦਾ ਹੈ।

ਸਮਰੱਥਾਵਾਂ — ਮਾਲਵੇਅਰ ਕੀ ਕਰ ਸਕਦਾ ਹੈ

ਮਾਲਵੇਅਰ ਦਾ ਮੁੱਖ ਮਿਸ਼ਨ ਇਕੱਠਾ ਕਰਨਾ, ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਅਤੇ ਰਿਮੋਟ ਐਕਸੈਸ ਹੈ, ਜਿਸ ਵਿੱਚ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਇੱਕ ਟੈਲੀਗ੍ਰਾਮ ਬੋਟ (@lraterrorsbot, ਉਰਫ਼ 'lrat' ਵਜੋਂ ਪਛਾਣਿਆ ਜਾਂਦਾ ਹੈ) ਰਾਹੀਂ ਸੰਭਾਲਿਆ ਜਾਂਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਤੈਨਾਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, ZynorRAT ਉਸ ਬੋਟ ਤੋਂ ਹੋਰ ਨਿਰਦੇਸ਼ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ ਅਤੇ ਪੀੜਤ ਹੋਸਟ 'ਤੇ ਸਥਾਨਕ ਤੌਰ 'ਤੇ ਕੰਮ ਕਰਦਾ ਹੈ। ਮੁੱਖ Linux ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ ਫਾਈਲ ਬ੍ਰਾਊਜ਼ਿੰਗ ਅਤੇ ਐਕਸਫਿਲਟਰੇਸ਼ਨ, ਸਿਸਟਮ ਪ੍ਰੋਫਾਈਲਿੰਗ, ਪ੍ਰਕਿਰਿਆ ਸੂਚੀ ਅਤੇ ਸਮਾਪਤੀ, ਸਕ੍ਰੀਨਸ਼ੌਟ ਕੈਪਚਰ, ਮਨਮਾਨੇ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ, ਅਤੇ systemd ਰਾਹੀਂ ਸਥਿਰਤਾ ਸ਼ਾਮਲ ਹੈ।

ਨਿਰੀਖਣ ਕੀਤੇ ਕਮਾਂਡ ਐਂਡਪੁਆਇੰਟ (ਜਿਵੇਂ ਕਿ Linux ਬਿਲਡ ਵਿੱਚ ਲਾਗੂ ਕੀਤਾ ਗਿਆ ਹੈ):

• /fs_list — ਡਾਇਰੈਕਟਰੀਆਂ ਦੀ ਗਿਣਤੀ ਕਰੋ
• /fs_get — ਹੋਸਟ ਤੋਂ ਫਾਈਲਾਂ ਨੂੰ ਬਾਹਰ ਕੱਢੋ
• /ਮੈਟ੍ਰਿਕਸ — ਸਿਸਟਮ ਪ੍ਰੋਫਾਈਲਿੰਗ ਕਰੋ
• /proc_list — ਸੂਚੀ ਪ੍ਰਕਿਰਿਆਵਾਂ ਲਈ ps ਦੇ ਬਰਾਬਰ ਚਲਾਓ
• /proc_kill — PID ਦੁਆਰਾ ਇੱਕ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਖਤਮ ਕਰੋ
• /capture_display — ਡਿਸਪਲੇ ਦੇ ਸਕਰੀਨਸ਼ਾਟ ਲਓ
• /persist — ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰੋ (systemd ਸੇਵਾ)

ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਅਤੇ ਵੰਡ — ਆਪਰੇਟਰ ਇਸਨੂੰ ਕਿਵੇਂ ਚਲਾਉਂਦਾ ਅਤੇ ਫੈਲਾਉਂਦਾ ਹੈ

ਟੈਲੀਗ੍ਰਾਮ ZynorRAT ਦਾ C2 ਚੈਨਲ ਹੈ: ਮਾਲਵੇਅਰ @lraterrorsbot ਬੋਟ ਨਾਲ ਜਾਂਚ ਕਰਦਾ ਹੈ ਅਤੇ ਉਸ ਮਾਧਿਅਮ 'ਤੇ ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ। ਟੈਲੀਗ੍ਰਾਮ ਬੋਟ ਰਾਹੀਂ ਸਾਂਝੇ ਕੀਤੇ ਸਕ੍ਰੀਨਸ਼ਾਟ ਅਤੇ ਹੋਰ ਕਲਾਕ੍ਰਿਤੀਆਂ Dosya.co ਨਾਮਕ ਫਾਈਲ-ਸ਼ੇਅਰਿੰਗ ਸੇਵਾ ਦੁਆਰਾ ਵੰਡੇ ਜਾ ਰਹੇ ਪੇਲੋਡ ਦਿਖਾਉਂਦੀਆਂ ਹਨ। ਉਨ੍ਹਾਂ ਸਕ੍ਰੀਨਸ਼ਾਟ ਦੇ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਪਤਾ ਚੱਲਦਾ ਹੈ ਕਿ ਲੇਖਕ ਨੇ ਕਾਰਜਸ਼ੀਲਤਾ (ਸਵੈ-ਇਨਫੈਕਸ਼ਨ) ਦੀ ਜਾਂਚ ਜਾਂ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਲਈ ਆਪਣੇ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਮਸ਼ੀਨਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੋ ਸਕਦੀ ਹੈ। ਟੈਲੀਗ੍ਰਾਮ ਵਰਗੇ ਜਨਤਕ ਮੈਸੇਜਿੰਗ ਪਲੇਟਫਾਰਮ ਨੂੰ C2 ਵਜੋਂ ਵਰਤਣਾ ਆਪਰੇਟਰ ਲਈ ਵਰਤੋਂ ਵਿੱਚ ਆਸਾਨੀ ਅਤੇ ਕੁਝ ਪੱਧਰ ਦੀ ਕਾਰਜਸ਼ੀਲ ਲਚਕਤਾ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਪਰ ਇਹ ਸਪੱਸ਼ਟ ਸੰਕੇਤਕ (ਬੋਟ ਹੈਂਡਲ, ਅਸਾਧਾਰਨ ਟੈਲੀਗ੍ਰਾਮ ਟ੍ਰੈਫਿਕ) ਵੀ ਬਣਾਉਂਦਾ ਹੈ ਜਿਨ੍ਹਾਂ ਦੀ ਡਿਫੈਂਡਰ ਭਾਲ ਕਰ ਸਕਦੇ ਹਨ।

ਵਿਸ਼ੇਸ਼ਤਾ ਅਤੇ ਸਮਾਂਰੇਖਾ - ਅਸੀਂ ਕੀ ਅਨੁਮਾਨ ਲਗਾ ਸਕਦੇ ਹਾਂ

ਸਬੂਤ 8 ਜੁਲਾਈ, 2025 ਤੋਂ ਸ਼ੁਰੂ ਹੋਈ ਗਤੀਵਿਧੀ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦੇ ਹਨ। ਬੋਟ ਚੈਟਾਂ ਅਤੇ ਹੋਰ ਬਰਾਮਦ ਕੀਤੇ ਟੈਕਸਟ ਵਿੱਚ ਭਾਸ਼ਾਈ ਕਲਾਕ੍ਰਿਤੀਆਂ ਸੁਝਾਅ ਦਿੰਦੀਆਂ ਹਨ ਕਿ ਆਪਰੇਟਰ ਤੁਰਕੀ ਹੋ ਸਕਦਾ ਹੈ ਜਾਂ ਘੱਟੋ ਘੱਟ ਤੁਰਕੀ ਭਾਸ਼ਾ ਦੇ ਸਰੋਤਾਂ ਦੀ ਵਰਤੋਂ ਕਰ ਰਿਹਾ ਹੋ ਸਕਦਾ ਹੈ, ਅਤੇ ਮੌਜੂਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਸਮੂਹ ਵਿਕਾਸ ਯਤਨਾਂ ਦੀ ਬਜਾਏ ਇੱਕ ਸਿੰਗਲ, ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਇਕੱਲੇ ਅਦਾਕਾਰ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ। ਇਸ ਦੇ ਨਾਲ ਹੀ, ਕਿਸੇ ਵਿਅਕਤੀ ਜਾਂ ਰਾਸ਼ਟਰ ਨੂੰ ਵਿਸ਼ੇਸ਼ਤਾ ਦੇਣ ਤੋਂ ਬਾਅਦ ਹੋਰ ਪੁਸ਼ਟੀ ਹੋਣ ਤੱਕ ਸਾਵਧਾਨ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ।

ਇਹ ਕਿਉਂ ਮਾਇਨੇ ਰੱਖਦਾ ਹੈ — ਨਵੀਨਤਾ ਅਤੇ ਮਾਲਵੇਅਰ-ਵਿਕਾਸ ਰੁਝਾਨ

ਹਾਲਾਂਕਿ RAT ਆਮ ਹਨ, ZynorRAT ਇਸ ਲਈ ਮਹੱਤਵਪੂਰਨ ਹੈ ਕਿਉਂਕਿ ਇਹ ਇੱਕ ਸਾਫ਼-ਕਮਰਾ ਲਾਗੂਕਰਨ (ਜਾਣਿਆ-ਪਛਾਣੇ ਪਰਿਵਾਰਾਂ ਨਾਲ ਕੋਈ ਓਵਰਲੈਪ ਨਹੀਂ) ਜਾਪਦਾ ਹੈ ਜੋ ਟੈਲੀਗ੍ਰਾਮ ਰਾਹੀਂ ਸਵੈਚਾਲਿਤ, ਕੇਂਦਰੀਕ੍ਰਿਤ ਨਿਯੰਤਰਣ ਲਾਗੂ ਕਰਦਾ ਹੈ। ਇਸਦੀਆਂ ਕਰਾਸ-ਪਲੇਟਫਾਰਮ ਇੱਛਾਵਾਂ ਅਤੇ Go ਦੀ ਵਰਤੋਂ ਮੁਕਾਬਲਤਨ ਛੋਟੇ ਓਪਰੇਟਰਾਂ ਦੇ ਰੁਝਾਨ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ ਜੋ ਸਮਰੱਥ ਮਲਟੀ-OS ਟੂਲਿੰਗ ਤੇਜ਼ੀ ਨਾਲ ਪੈਦਾ ਕਰਦੇ ਹਨ। ਇੱਥੇ ਸ਼ੁਰੂਆਤੀ-ਪੜਾਅ ਦੀ ਸੂਝ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਨਾਵਲ RAT ਕਿੰਨੀ ਤੇਜ਼ੀ ਨਾਲ ਉਭਰ ਸਕਦੇ ਹਨ ਅਤੇ ਫੀਲਡ ਕੀਤੇ ਜਾ ਸਕਦੇ ਹਨ।

ਸਮਾਪਤੀ ਮੁਲਾਂਕਣ

ZynorRAT ਇੱਕ ਹਲਕੇ ਪਰ ਸਮਰੱਥ RAT ਦੀ ਇੱਕ ਸਮਕਾਲੀ ਉਦਾਹਰਣ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ ਜੋ ਕਰਾਸ-ਪਲੇਟਫਾਰਮ ਤੈਨਾਤੀ ਲਈ ਬਣਾਇਆ ਗਿਆ ਹੈ ਅਤੇ ਇੱਕ ਆਫ-ਦੀ-ਸ਼ੈਲਫ ਮੈਸੇਜਿੰਗ ਸੇਵਾ ਦੁਆਰਾ ਪ੍ਰਬੰਧਿਤ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਸਦੀ ਖੋਜ ਇਸ ਗੱਲ 'ਤੇ ਜ਼ੋਰ ਦਿੰਦੀ ਹੈ ਕਿ ਸਿੰਗਲ ਓਪਰੇਟਰ ਵੀ Go ਵਰਗੀਆਂ ਆਧੁਨਿਕ ਭਾਸ਼ਾਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਤੇਜ਼ੀ ਨਾਲ ਲਚਕਦਾਰ ਰਿਮੋਟ ਐਕਸੈਸ ਟੂਲ ਤਿਆਰ ਕਰ ਸਕਦੇ ਹਨ। ਸੰਗਠਨਾਂ ਨੂੰ ਟੈਲੀਗ੍ਰਾਮ-ਅਧਾਰਤ C2 ਅਤੇ ਉਪਭੋਗਤਾ ਫਾਈਲ-ਸ਼ੇਅਰਿੰਗ ਸੇਵਾਵਾਂ ਦੀ ਅਚਾਨਕ ਵਰਤੋਂ ਨੂੰ ਉੱਚ-ਪ੍ਰਾਥਮਿਕਤਾ ਵਾਲੇ ਸ਼ਿਕਾਰ ਵਸਤੂਆਂ ਵਜੋਂ ਮੰਨਣਾ ਚਾਹੀਦਾ ਹੈ, ਅੰਤਮ ਬਿੰਦੂਆਂ 'ਤੇ ਸੇਵਾ ਨਿਰਮਾਣ ਨੂੰ ਸਖ਼ਤ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ, ਅਤੇ ਐਕਸਪੋਜ਼ਰ ਨੂੰ ਘਟਾਉਣ ਲਈ ਉੱਪਰ ਸੂਚੀਬੱਧ ਘਟਾਓ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।