Złośliwe oprogramowanie ZynorRAT
Badacze cyberbezpieczeństwa zidentyfikowali nową rodzinę złośliwego oprogramowania, składającą się z trojana zdalnego dostępu (RAT) skompilowanego w języku Go, nazwanego ZynorRAT. Implant atakuje zarówno hosty Linux, jak i Windows, jest zarządzany za pośrednictwem bota Telegram i – na podstawie dostępnych dowodów – pojawił się po raz pierwszy 8 lipca 2025 roku. Analitycy nie zgłaszają, aby kod ani zachowanie szkodnika pokrywały się z wcześniej skatalogowanymi rodzinami, co sugeruje, że jest to nowa implementacja, a nie wariant istniejącego zestawu narzędzi.
Spis treści
Profil techniczny — język, kompilacja i notatki dotyczące platformy międzyplatformowej
ZynorRAT jest zaimplementowany w języku Go, co pozwala na generowanie plików binarnych dla wielu docelowych systemów operacyjnych z jednej bazy kodu. Wersja dla Linuksa jest bogata w funkcje i oferuje szeroki zestaw możliwości w zakresie rozpoznania, gromadzenia danych i zdalnego sterowania. Zaobserwowano również wersję dla systemu Windows, która wydaje się funkcjonalnie podobna do wariantu dla Linuksa; jednak nadal wykorzystuje ona techniki trwałości w stylu Linuksa (usługi systemd), co sugeruje, że artefakt dla systemu Windows może być niekompletny lub być w trakcie aktywnego rozwoju.
Możliwości — co potrafi złośliwe oprogramowanie
Głównym zadaniem złośliwego oprogramowania jest gromadzenie, eksfiltracja i zdalny dostęp, a mechanizm Command-and-Control (C2) jest obsługiwany przez bota Telegrama (identyfikowanego jako @lraterrorsbot, znanego również jako „lrat”). Po wdrożeniu ZynorRAT otrzymuje dalsze instrukcje od tego bota i wykonuje zadania lokalnie na hoście ofiary. Kluczowe funkcje systemu Linux obejmują przeglądanie i eksfiltrację plików, profilowanie systemu, tworzenie listy i kończenie procesów, przechwytywanie zrzutów ekranu, wykonywanie dowolnych poleceń oraz utrwalanie danych za pośrednictwem systemd.
Obserwowane punkty końcowe poleceń (zaimplementowane w kompilacji systemu Linux):
- /fs_list — wylicza katalogi
- /fs_get — eksfiltracja plików z hosta
- /metrics — wykonaj profilowanie systemu
- /proc_list — uruchom odpowiednik polecenia ps, aby wyświetlić listę procesów
- /proc_kill — zabij proces według PID
- /capture_display — zrób zrzuty ekranu wyświetlacza
- /persist — ustanawianie trwałości (usługa systemd)
Dowodzenie i kontrola oraz dystrybucja — sposób, w jaki operator zarządza i rozprzestrzenia
Telegram to kanał C2 firmy ZynorRAT: złośliwe oprogramowanie łączy się z botem @lraterrorsbot i odbiera polecenia za jego pośrednictwem. Zrzuty ekranu i inne artefakty udostępniane przez bota Telegram pokazują ładunki dystrybuowane za pośrednictwem usługi udostępniania plików o nazwie Dosya.co. Analiza tych zrzutów ekranu wskazuje, że autor mógł używać kontrolowanych przez siebie maszyn do testowania lub walidacji funkcjonalności (samoinfekcja). Korzystanie z publicznej platformy komunikacyjnej, takiej jak Telegram, jako kanału C2 zapewnia operatorowi łatwość obsługi i pewien poziom elastyczności operacyjnej, ale jednocześnie tworzy wyraźne wskaźniki (nazwa bota, nietypowy ruch w Telegramie), na które mogą zwracać uwagę obrońcy.
Atrybucja i oś czasu — co możemy rozsądnie wywnioskować
Dowody wskazują na rozpoczęcie aktywności 8 lipca 2025 r. Artefakty językowe w czatach bota i innych odzyskanych tekstach sugerują, że operator może być Turkiem lub przynajmniej korzystać z tureckich zasobów językowych. Aktualne analizy wskazują na pojedynczego, prawdopodobnie samotnego aktora, a nie na grupowe działania rozwojowe. Mimo to, przypisywanie tej aktywności konkretnej osobie lub narodowi powinno pozostać ostrożne do czasu dalszych badań.
Dlaczego to ma znaczenie — nowości i trendy w rozwoju złośliwego oprogramowania
Chociaż RAT-y są powszechne, ZynorRAT wyróżnia się, ponieważ wydaje się być implementacją typu „clean room” (bez nakładania się ze znanymi rodzinami), która implementuje zautomatyzowane, scentralizowane sterowanie za pośrednictwem Telegrama. Jego ambicje wieloplatformowe i wykorzystanie języka Go podkreślają trend wśród stosunkowo małych operatorów, którzy szybko tworzą wydajne narzędzia multi-OS. Wczesny etap rozwoju pokazuje, jak szybko mogą pojawić się i zostać wdrożone nowe RAT-y.
Ocena końcowa
ZynorRAT stanowi współczesny przykład lekkiego, ale wydajnego narzędzia RAT, stworzonego do wdrażania wieloplatformowego i zarządzanego za pośrednictwem gotowej usługi przesyłania wiadomości. Jego odkrycie dowodzi, że nawet pojedynczy operatorzy mogą szybko tworzyć elastyczne narzędzia dostępu zdalnego, korzystając z nowoczesnych języków, takich jak Go. Organizacje powinny traktować C2 oparte na Telegramie i nieoczekiwane użycie konsumenckich usług udostępniania plików jako priorytetowe elementy wyszukiwania, wzmocnić tworzenie usług na punktach końcowych i zastosować środki zaradcze wymienione powyżej, aby ograniczyć narażenie na atak.
