Zlonamerna programska oprema ZynorRAT
Raziskovalci kibernetske varnosti so odkrili novo družino zlonamerne programske opreme, ki jo sestavlja trojanec za oddaljeni dostop (RAT), preveden v Go, imenovan ZynorRAT. Vsadek cilja tako na gostiteljske sisteme Linux kot Windows, upravlja se prek bota Telegram in se je – na podlagi razpoložljivih dokazov – prvič pojavil 8. julija 2025. Analitiki poročajo o odsotnosti prekrivanja kode ali vedenja s prej katalogiziranimi družinami, kar kaže na novo implementacijo in ne na različico obstoječega nabora orodij.
Kazalo
Tehnični profil – jezik, gradnja in opombe o večplatformski povezavi
ZynorRAT je implementiran v jeziku Go, ki omogoča, da ena sama kodna baza ustvari binarne datoteke za več ciljnih operacijskih sistemov. Različica za Linux je bogata s funkcijami in ponuja širok nabor zmogljivosti za izvidovanje, zbiranje podatkov in daljinsko upravljanje. Opažena je bila tudi različica za Windows, ki je funkcionalno podobna različici za Linux; vendar še vedno uporablja tehnike vztrajnosti v slogu Linuxa (storitve systemd), kar pomeni, da je artefakt za Windows morda nepopoln ali v aktivnem razvoju.
Zmogljivosti – kaj zmore zlonamerna programska oprema
Primarna naloga zlonamerne programske opreme je zbiranje, izkrcanje in oddaljeni dostop, pri čemer se upravljanje in nadzor (C2) izvaja prek bota Telegram (prepoznanega kot @lraterrorsbot, znanega tudi kot 'lrat'). Ko je ZynorRAT nameščen, prejme nadaljnja navodila od tega bota in izvaja naloge lokalno na gostitelju žrtve. Ključne zmogljivosti Linuxa vključujejo brskanje po datotekah in izkrcanje, profiliranje sistema, seznam in prekinitev procesov, zajem posnetkov zaslona, izvajanje poljubnih ukazov in vztrajnost prek systemd.
Opazovane končne točke ukazov (kot so implementirane v gradnji Linuxa):
- /fs_list — našteje imenike
- /fs_get — izvleči datoteke iz gostitelja
- /metrics — izvaja profiliranje sistema
- /proc_list — zažene ekvivalent ukaza ps za seznam procesov
- /proc_kill — uniči proces glede na PID
- /capture_display — naredi posnetke zaslona zaslona
- /persist — vzpostavitev vztrajnosti (storitev systemd)
Upravljanje in nadzor ter distribucija – kako operater upravlja in razširja
Telegram je ZynorRAT-ov C2 kanal: zlonamerna programska oprema se poveže z botom @lraterrorsbot in prek tega medija prejema ukaze. Posnetki zaslona in drugi artefakti, ki jih deli bot Telegram, kažejo, da se koristni tovor distribuira prek storitve za deljenje datotek, imenovane Dosya.co. Analiza teh posnetkov zaslona kaže, da je avtor morda uporabil stroje, ki jih nadzoruje, za testiranje ali potrjevanje funkcionalnosti (samookužba). Uporaba platforme za javno sporočanje, kot je Telegram, kot C2 zagotavlja enostavno uporabo za operaterja in določeno stopnjo operativne prilagodljivosti, hkrati pa ustvarja jasne kazalnike (ročaj bota, nenavaden promet Telegrama), ki jih lahko branilci iščejo.
Pripisovanje in časovnica – kaj lahko razumno sklepamo
Dokazi kažejo na začetek dejavnosti 8. julija 2025. Jezikovni artefakti v klepetih bota in drugo obnovljeno besedilo kažejo, da je upravljavec morda Turek ali vsaj uporablja vire v turškem jeziku, trenutna analiza pa daje prednost enemu samemu, verjetno osamljenemu akterju in ne skupinskemu razvojnemu prizadevanju. Kljub temu je treba pripisovanje osebi ali narodu ostati previdno, dokler ne bodo podane nadaljnje potrditve.
Zakaj je to pomembno – trendi novosti in razvoja zlonamerne programske opreme
Čeprav so RAT-i pogosti, je ZynorRAT opazen, ker se zdi, da gre za čisto sobo implementacije (brez prekrivanja z znanimi družinami), ki izvaja avtomatizirane, centralizirane kontrole prek Telegrama. Njegove ambicije za več platform in uporaba Go poudarjajo trend relativno majhnih operaterjev, ki hitro proizvajajo zmogljiva orodja za več operacijskih sistemov. Zgodnja faza dovršenosti tukaj kaže, kako hitro se lahko pojavijo in uvedejo novi RAT-i.
Zaključna ocena
ZynorRAT predstavlja sodoben primer lahkega, a zmogljivega orodja za oddaljeni dostop (RAT), zgrajenega za uvajanje na več platformah in upravljanega prek standardne storitve za sporočanje. Njegovo odkritje poudarja, da lahko tudi posamezni operaterji hitro ustvarijo prilagodljiva orodja za oddaljeni dostop z uporabo sodobnih jezikov, kot je Go. Organizacije bi morale C2, ki temelji na Telegramu, in nepričakovano uporabo storitev za skupno rabo datotek s potrošniki obravnavati kot elemente iskanja z visoko prioriteto, okrepiti ustvarjanje storitev na končnih točkah in uporabiti zgoraj navedene ukrepe za zmanjšanje izpostavljenosti.
