Škodlivý softvér ZynorRAT
Výskumníci v oblasti kybernetickej bezpečnosti identifikovali novú rodinu škodlivého koňa, ktorú skompiloval Go s názvom ZynorRAT pre vzdialený prístup. Implantát je zameraný na hostiteľské systémy Linux aj Windows, je spravovaný prostredníctvom bota Telegram a – na základe dostupných dôkazov – sa prvýkrát objavil 8. júla 2025. Analytici neuvádzajú žiadne prekrývanie kódu ani správania s predtým katalogizovanými rodinami, čo naznačuje skôr novú implementáciu ako variant existujúcej sady nástrojov.
Obsah
Technický profil – poznámky k jazyku, zostaveniu a multiplatformovej podpore
ZynorRAT je implementovaný v jazyku Go, ktorý umožňuje jednej kódovej základni vytvárať binárne súbory pre viacero cieľových operačných systémov. Zostavenie pre Linux je bohaté na funkcie a poskytuje širokú škálu možností pre prieskum, zber údajov a diaľkové ovládanie. Bola tiež pozorovaná zostava pre Windows, ktorá sa javí ako funkčne podobná variantu pre Linux; stále však používa techniky perzistencie v štýle Linuxu (služby systemd), čo naznačuje, že artefakt pre Windows môže byť neúplný alebo v aktívnom vývoji.
Schopnosti – čo dokáže malvér
Primárnou úlohou malvéru je zhromažďovanie, exfiltrácia a vzdialený prístup, pričom Command-and-Control (C2) je zabezpečený prostredníctvom bota v Telegrame (identifikovaného ako @lraterrorsbot, známeho aj ako „lrat“). Po nasadení ZynorRAT prijíma od tohto bota ďalšie pokyny a vykonáva úlohy lokálne na hostiteľskom počítači obete. Medzi kľúčové funkcie Linuxu patrí prehliadanie a exfiltrácia súborov, profilovanie systému, zobrazovanie a ukončovanie procesov, snímanie obrazovky, vykonávanie ľubovoľných príkazov a perzistencia prostredníctvom systemd.
Pozorované koncové body príkazov (ako sú implementované v zostave Linuxu):
- /fs_list — vymenovať adresáre
- /fs_get — extrahuje súbory z hostiteľa
- /metrics — vykonáva profilovanie systému
- /proc_list — spustí ekvivalent príkazu ps na zobrazenie zoznamu procesov
- /proc_kill — ukončí proces podľa PID
- /capture_display — urobiť snímky obrazovky displeja
- /persist — nadviazať perzistenciu (služba systemd)
Velenie, riadenie a distribúcia – ako operátor riadi a šíri informácie
Telegram je kanál C2 pre ZynorRAT: malvér sa pripája k botu @lraterrorsbot a prijíma príkazy cez toto médium. Snímky obrazovky a ďalšie artefakty zdieľané prostredníctvom bota Telegram ukazujú, že užitočné zaťaženie distribuované prostredníctvom služby zdieľania súborov s názvom Dosya.co. Analýza týchto snímok obrazovky naznačuje, že autor mohol použiť počítače, ktoré ovláda, na testovanie alebo overovanie funkčnosti (samoinfekcia). Používanie verejnej platformy na odosielanie správ, ako je Telegram, ako kanála C2 poskytuje operátorovi jednoduché používanie a určitú úroveň operačnej flexibility, ale zároveň vytvára jasné indikátory (identifikátor bota, nezvyčajná prevádzka v Telegrame), ktoré môžu obrancovia sledovať.
Pripisovanie a časová os – čo môžeme rozumne odvodiť
Dôkazy poukazujú na aktivitu začínajúcu 8. júla 2025. Jazykové artefakty v chatoch botov a inom zachytenom texte naznačujú, že operátorom môže byť Turek alebo aspoň používa turecké jazykové zdroje a súčasná analýza uprednostňuje jediného, pravdepodobne osamoteného aktéra pred skupinovým úsilím o vývoj. Napriek tomu by sa pripisovanie osobe alebo národu malo zostať opatrné až do ďalšieho potvrdenia.
Prečo je to dôležité – novosti a trendy vo vývoji malvéru
Hoci sú RAT bežné, ZynorRAT je pozoruhodný, pretože sa javí ako implementácia z čistej miestnosti (bez prekrývania so známymi rodinami), ktorá implementuje automatizované, centralizované ovládacie prvky prostredníctvom Telegramu. Jeho multiplatformové ambície a používanie Go zdôrazňujú trend relatívne malých operátorov, ktorí rýchlo vytvárajú schopné nástroje pre viacero operačných systémov. Raná fáza sofistikovanosti ukazuje, ako rýchlo sa môžu objaviť a zaviesť nové RAT.
Záverečné hodnotenie
ZynorRAT predstavuje súčasný príklad ľahkého, ale výkonného RAT vytvoreného pre nasadenie na viacerých platformách a spravovaného prostredníctvom štandardnej služby zasielania správ. Jeho objav zdôrazňuje, že aj jednotliví operátori dokážu rýchlo vytvoriť flexibilné nástroje pre vzdialený prístup pomocou moderných jazykov, ako je Go. Organizácie by mali považovať C2 založené na Telegrame a neočakávané používanie služieb zdieľania súborov spotrebiteľmi za položky s vysokou prioritou, posilniť vytváranie služieb na koncových bodoch a uplatňovať vyššie uvedené opatrenia na zníženie vystavenia.
