Злонамерни софтвер ZynorRAT
Истраживачи сајбер безбедности идентификовали су нову породицу злонамерног софтвера, која се састоји од тројанца за даљински приступ (RAT) компајлираног помоћу Go-а, названог ZynorRAT. Имплантат циља и Linux и Windows хостове, њиме се управља преко Telegram бота и - на основу доступних доказа - први пут се појавио 8. јула 2025. Аналитичари извештавају да нема преклапања кода или понашања са претходно каталогизованим породицама, што сугерише нову имплементацију, а не варијанту постојећег скупа алата.
Преглед садржаја
Технички профил — белешке о језику, изради и вишеплатформској подршци
ZynorRAT је имплементиран у Go-у, што омогућава једној кодној бази да производи бинарне датотеке за више циљних оперативних система. Линукс верзија је богата функцијама и пружа широк скуп могућности за извиђање, прикупљање података и даљинско управљање. Такође је примећена и Виндоус верзија која функционално делује слично Линукс варијанти; међутим, она и даље користи технике перзистентности у Линукс стилу (systemd сервиси), што имплицира да Виндоус артефакт може бити непотпун или у активном развоју.
Могућности — шта злонамерни софтвер може да уради
Примарна мисија злонамерног софтвера је прикупљање, извлачење података и даљински приступ, док се командовање и контрола (C2) обавља путем Телеграм бота (идентификованог као @lraterrorsbot, познатог као „lrat“). Једном инсталиран, ZynorRAT прима даља упутства од тог бота и обавља задатке локално на жртвованом хосту. Кључне могућности Линукса укључују прегледање и извлачење података из датотека, профилисање система, листање и прекидање процеса, снимање екрана, произвољно извршавање команди и перзистентност путем systemd-а.
Посматране крајње тачке команди (како је имплементирано у Линук верзији):
- /fs_list — набројавање директоријума
- /fs_get — издваја датотеке са хоста
- /metrics — изврши профилисање система
- /proc_list — покрени еквивалент ps команде за листање процеса
- /proc_kill — зауставља процес по PID-у
- /capture_display — прави снимке екрана екрана
- /persist — успостављање перзистентности (systemd сервис)
Командовање и контрола и дистрибуција — како оператер управља и шири
Телеграм је ZynorRAT-ов C2 канал: злонамерни софтвер се повезује са ботом @lraterrorsbot и прима команде преко тог медијума. Снимци екрана и други артефакти који се деле путем Телеграм бота показују да се корисни терет дистрибуира путем сервиса за дељење датотека под називом Dosya.co. Анализа тих снимака екрана указује да је аутор можда користио машине које контролише да би тестирао или валидирао функционалност (самоинфекција). Коришћење јавне платформе за размену порука попут Телеграма као C2 канала пружа једноставност коришћења за оператера и одређени ниво оперативне флексибилности, али такође ствара јасне индикаторе (идентификатор бота, необичан Телеграм саобраћај) које браниоци могу да траже.
Атрибуција и временска линија — шта можемо разумно закључити
Докази указују на активност која је почела 8. јула 2025. Језички артефакти у бот четовима и другом опорављеном тексту сугеришу да оператер може бити Турчин или барем користити турске језичке ресурсе, а тренутна анализа фаворизује једног, вероватно усамљеног актера, а не групни развојни напори. Уз то речено, приписивање особи или нацији треба остати опрезно док се не потврде даљи подаци.
Зашто је ово важно — трендови у развоју новости и злонамерног софтвера
Иако су RAT-ови уобичајени, ZynorRAT је значајан јер изгледа као имплементација „чисте собе“ (без преклапања са познатим породицама) која имплементира аутоматизоване, централизоване контроле путем Телеграма. Његове амбиције за више платформи и коришћење Go-а истичу тренд да релативно мали оператери брзо производе способне алате за више оперативних система. Рана фаза софистицираности овде показује колико брзо се нови RAT-ови могу појавити и применити.
Завршна процена
ZynorRAT представља савремени пример лаганог, али способног RAT-а направљеног за примену на више платформи и којим се управља путем готове услуге размене порука. Његово откриће наглашава да чак и појединачни оператери могу брзо да произведу флексибилне алате за даљински приступ користећи модерне језике попут Go-а. Организације би требало да третирају C2 заснован на Telegram-у и неочекивану употребу сервиса за дељење датотека од стране потрошача као ставке високог приоритета, да пооштре креирање сервиса на крајњим тачкама и да примене горе наведене мере ублажавања како би смањиле изложеност.
