Вредоносное ПО ZynorRAT
Исследователи кибербезопасности выявили новое семейство вредоносных программ, состоящее из трояна удалённого доступа (RAT), скомпилированного на Go, получившего название ZynorRAT. Имплант атакует как Linux, так и Windows-хосты, управляется через Telegram-бот и, судя по имеющимся данным, впервые появился 8 июля 2025 года. Аналитики не сообщают об совпадении кода или поведения с ранее зарегистрированными семействами, что говорит о новой реализации, а не об изменении существующего инструментария.
Оглавление
Технический профиль — язык, сборка и кроссплатформенность
ZynorRAT реализован на Go, что позволяет использовать единую кодовую базу для создания исполняемых файлов для нескольких целевых ОС. Сборка для Linux богата функциями и предоставляет широкий набор возможностей для разведки, сбора данных и удалённого управления. Также была обнаружена сборка для Windows, функционально схожая с версией для Linux; однако она по-прежнему использует методы персистентности в стиле Linux (службы systemd), что может указывать на то, что артефакт для Windows может быть неполным или находиться в активной разработке.
Возможности — что может сделать вредоносная программа
Основная задача вредоносной программы — сбор данных, их эксфильтрация и удалённый доступ. Управление и контроль (C2) осуществляется через Telegram-бот (идентифицированный как @lraterrorsbot, он же «lrat»). После развертывания ZynorRAT получает дальнейшие инструкции от этого бота и выполняет задачи локально на компьютере жертвы. Ключевые возможности Linux включают просмотр файлов и эксфильтрацию, профилирование системы, вывод списка процессов и их завершение, создание снимков экрана, выполнение произвольных команд и сохранение данных через systemd.
Наблюдаемые конечные точки команд (реализованы в сборке Linux):
- /fs_list — перечислить каталоги
- /fs_get — извлечь файлы с хоста
- /metrics — выполнить профилирование системы
- /proc_list — запустить эквивалент ps для вывода списка процессов
- /proc_kill — завершить процесс по PID
- /capture_display — делать снимки экрана
- /persist — установить персистентность (служба systemd)
Управление и контроль, а также распределение — как оператор управляет и распределяет
Telegram — это командный канал ZynorRAT: вредоносная программа подключается к боту @lraterrorsbot и получает команды через него. Скриншоты и другие артефакты, распространяемые через бот Telegram, показывают, что полезная нагрузка распространяется через файлообменный сервис Dosya.co. Анализ этих скриншотов указывает на то, что автор мог использовать подконтрольные ему устройства для тестирования или проверки функциональности (самозаражение). Использование общедоступной платформы обмена сообщениями, такой как Telegram, в качестве командного канала обеспечивает простоту использования для оператора и определённую гибкость в работе, но также создаёт явные индикаторы (имя бота, необычный трафик Telegram), которые могут отслеживать специалисты по безопасности.
Атрибуция и хронология — что мы можем разумно предположить
Данные указывают на начало активности бот-бота 8 июля 2025 года. Языковые артефакты в чатах бота и другой восстановленный текст позволяют предположить, что оператор мог быть турком или, по крайней мере, использовать турецкие языковые ресурсы. Текущий анализ указывает на одного, вероятно, одиночного исполнителя, а не на групповую разработку. Тем не менее, приписывание личности или страны должно быть осторожным до получения дополнительных подтверждений.
Почему это важно — новинки и тенденции развития вредоносного ПО
Несмотря на распространённость RAT, ZynorRAT примечателен тем, что, по всей видимости, представляет собой реализацию «чистой комнаты» (без перекрытий с известными семействами), реализующую автоматизированное централизованное управление через Telegram. Его кроссплатформенные амбиции и использование Go подчёркивают тенденцию к быстрому созданию относительно небольшими операторами эффективного инструментария для работы с несколькими ОС. Ранняя стадия развития показывает, насколько быстро могут появляться и внедряться новые RAT.
Заключительная оценка
ZynorRAT представляет собой современный пример лёгкого, но эффективного RAT, разработанного для кроссплатформенного развертывания и управляемого через готовый сервис обмена сообщениями. Его обнаружение подчёркивает, что даже один оператор может быстро создавать гибкие инструменты удалённого доступа, используя современные языки программирования, такие как Go. Организациям следует рассматривать C2-серверы на базе Telegram и непредвиденное использование сервисов обмена файлами как приоритетные объекты для поиска, усилить защиту от создания сервисов на конечных точках и применять перечисленные выше меры для снижения риска.
