Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware ZynorRAT Malware

ZynorRAT Malware

Nga MezoMalware, Mjetet e administrimit në distancë
Përkthe në:

Studiuesit e sigurisë kibernetike kanë identifikuar një familje të re programesh keqdashëse, e përbërë nga një trojan me akses në distancë (RAT) i përpiluar nga Go dhe i quajtur ZynorRAT. Implanti synon si hostet Linux ashtu edhe ato Windows, menaxhohet përmes një boti Telegram dhe — bazuar në provat e disponueshme — u shfaq për herë të parë më 8 korrik 2025. Analistët raportojnë se nuk ka mbivendosje kodi ose sjelljeje me familjet e kataloguara më parë, duke sugjeruar një implementim të ri dhe jo një variant të një grupi mjetesh ekzistuese.

Profili teknik — gjuha, ndërtimi dhe shënime ndërplatformore

ZynorRAT është implementuar në Go, gjë që lejon që një bazë e vetme kodi të prodhojë skedarë binare për objektiva të shumëfishta të sistemit operativ. Ndërtimi i Linux është i pasur me funksione dhe ekspozon një gamë të gjerë aftësish për zbulim, mbledhje të dhënash dhe kontroll në distancë. Një ndërtim i Windows është vërejtur gjithashtu dhe duket funksionalisht i ngjashëm me variantin e Linux; megjithatë, ai ende përdor teknika të këmbënguljes në stilin Linux (shërbimet systemd), duke nënkuptuar se artefakti i Windows mund të jetë i paplotë ose nën zhvillim aktiv.

Aftësitë — çfarë mund të bëjë programi keqdashës

Misioni kryesor i malware-it është mbledhja, nxjerrja jashtë dhe qasja në distancë, me Command-and-Control (C2) të trajtuar përmes një boti Telegram (i identifikuar si @lraterrorsbot, i njohur edhe si 'lrat'). Pasi të vendoset, ZynorRAT merr udhëzime të mëtejshme nga ai bot dhe kryen detyra lokalisht në hostin e viktimës. Aftësitë kryesore të Linux përfshijnë shfletimin dhe nxjerrjen jashtë të skedarëve, profilizimin e sistemit, renditjen dhe përfundimin e proceseve, kapjen e pamjeve të ekranit, ekzekutimin arbitrar të komandës dhe qëndrueshmërinë përmes systemd.

Pikat fundore të komandës së vëzhguara (siç janë zbatuar në ndërtimin Linux):

  • /fs_list — numëron drejtoritë
  • /fs_get — nxjerr skedarët nga hosti
  • /metrika — kryen profilizimin e sistemit
  • /proc_list — ekzekuton ekuivalentin e ps për të listuar proceset
  • /proc_kill — mbyll një proces me anë të PID-it
  • /capture_display — merr pamje të ekranit të ekranit
  • /persist — vendos qëndrueshmëri (shërbimi systemd)

Komanda dhe kontrolli dhe shpërndarja — si e drejton dhe e shpërndan operatori atë

Telegram është kanali C2 i ZynorRAT: malware-i kontrollon botin @lraterrorsbot dhe merr komanda përmes atij mediumi. Pamjet e ekranit dhe objektet e tjera të ndara përmes botit Telegram tregojnë ngarkesa që shpërndahen përmes një shërbimi për ndarjen e skedarëve të quajtur Dosya.co. Analiza e këtyre pamjeve të ekranit tregon se autori mund të ketë përdorur makina që kontrollon për të testuar ose vërtetuar funksionalitetin (vetë-infektim). Përdorimi i një platforme publike mesazhesh si Telegram si C2 ofron lehtësi përdorimi për operatorin dhe një nivel të caktuar fleksibiliteti operacional, por gjithashtu krijon tregues të qartë (domethënë boti, trafik i pazakontë i Telegram) që mbrojtësit mund të kërkojnë.

Atribuimi dhe afati kohor — çfarë mund të nxjerrim përfundime të arsyeshme

Provat tregojnë për aktivitet që ka filluar më 8 korrik 2025. Artefaktet gjuhësore në bisedat e botëve dhe tekstet e tjera të rikuperuara sugjerojnë se operatori mund të jetë turk ose të paktën duke përdorur burime në gjuhën turke, dhe analiza aktuale favorizon një aktor të vetëm, me shumë mundësi të vetëm, në vend të një përpjekjeje zhvillimi në grup. Megjithatë, atribuimi ndaj një personi ose kombi duhet të mbetet i kujdesshëm në pritje të konfirmimeve të mëtejshme.

Pse kjo ka rëndësi — risia dhe trendet e zhvillimit të malware-ve

Edhe pse RAT-të janë të zakonshme, ZynorRAT është i shquar sepse duket të jetë një implementim i "clean-room" (pa mbivendosje me familjet e njohura) që implementon kontrolle të automatizuara dhe të centralizuara nëpërmjet Telegram. Ambiciet e tij ndërplatformore dhe përdorimi i Go nxjerrin në pah trendin e operatorëve relativisht të vegjël që prodhojnë shpejt mjete të afta me shumë sisteme operative. Sofistikimi në fazat e hershme këtu tregon se sa shpejt mund të shfaqen dhe të përdoren RAT-të e reja.

Vlerësim përfundimtar

ZynorRAT përfaqëson një shembull bashkëkohor të një RAT të lehtë por të aftë, të ndërtuar për vendosje në platforma të ndryshme dhe të menaxhuar përmes një shërbimi mesazhesh të gatshëm. Zbulimi i tij nënvizon se edhe operatorë të vetëm mund të prodhojnë shpejt mjete fleksibile për akses në distancë duke përdorur gjuhë moderne si Go. Organizatat duhet ta trajtojnë C2 të bazuar në Telegram dhe përdorimin e papritur të shërbimeve të ndarjes së skedarëve nga konsumatorët si artikuj gjuetie me përparësi të lartë, të forcojnë krijimin e shërbimeve në pikat fundore dhe të zbatojnë zbutjet e listuara më sipër për të zvogëluar ekspozimin.

Në trend

Më e shikuara

Po ngarkohet...