มัลแวร์ ZynorRAT
นักวิจัยด้านความปลอดภัยไซเบอร์ได้ระบุมัลแวร์ตระกูลใหม่ ซึ่งประกอบด้วยโทรจันการเข้าถึงระยะไกล (RAT) ที่คอมไพล์ด้วย Go ที่มีชื่อว่า ZynorRAT มัลแวร์นี้กำหนดเป้าหมายทั้งโฮสต์ Linux และ Windows ควบคุมผ่านบ็อต Telegram และจากหลักฐานที่มีอยู่ มัลแวร์นี้ปรากฏตัวครั้งแรกเมื่อวันที่ 8 กรกฎาคม 2025 นักวิเคราะห์รายงานว่าไม่มีโค้ดหรือพฤติกรรมที่ซ้ำซ้อนกับมัลแวร์ตระกูลเดิมที่จัดหมวดหมู่ไว้ ซึ่งบ่งชี้ว่าเป็นการใช้งานแบบใหม่ ไม่ใช่ชุดเครื่องมือที่มีอยู่แล้ว
สารบัญ
โปรไฟล์ทางเทคนิค — ภาษา การสร้าง และบันทึกข้ามแพลตฟอร์ม
ZynorRAT ถูกนำไปใช้งานในภาษา Go ซึ่งช่วยให้โค้ดเบสเดียวสามารถสร้างไฟล์ไบนารีสำหรับเป้าหมายระบบปฏิบัติการหลายระบบได้ Linux build นี้มีฟีเจอร์มากมายและแสดงชุดความสามารถที่หลากหลายสำหรับการลาดตระเวน การรวบรวมข้อมูล และการควบคุมระยะไกล พบว่ามี Windows build หนึ่งรุ่น ซึ่งมีลักษณะการทำงานคล้ายกับ Linux build อย่างไรก็ตาม ยังคงใช้เทคนิคการคงอยู่แบบ Linux (systemd services) ซึ่งบ่งชี้ว่าอาร์ทิแฟกต์ของ Windows อาจยังไม่สมบูรณ์หรืออยู่ระหว่างการพัฒนา
ความสามารถ — สิ่งที่มัลแวร์สามารถทำได้
ภารกิจหลักของมัลแวร์คือการเก็บรวบรวม ขโมยข้อมูล และการเข้าถึงจากระยะไกล โดยมีการควบคุมและสั่งการ (C2) ผ่านบ็อต Telegram (ระบุชื่อ @lraterrorsbot หรือที่รู้จักกันในชื่อ 'lrat') เมื่อติดตั้งแล้ว ZynorRAT จะได้รับคำสั่งเพิ่มเติมจากบ็อตนั้นและดำเนินการงานต่างๆ ภายในเครื่องของเหยื่อ ความสามารถหลักของ Linux ได้แก่ การเรียกดูและขโมยข้อมูล การสร้างโปรไฟล์ระบบ การแสดงรายการและยุติกระบวนการ การจับภาพหน้าจอ การดำเนินการตามคำสั่งโดยพลการ และการคงอยู่ของไฟล์ผ่าน systemd
จุดสิ้นสุดคำสั่งที่สังเกต (ตามที่นำไปใช้ในบิลด์ Linux):
- /fs_list — ระบุไดเรกทอรี
- /fs_get — ดึงไฟล์ออกจากโฮสต์
- /metrics — ดำเนินการจัดทำโปรไฟล์ระบบ
- /proc_list — รันเทียบเท่ากับ ps เพื่อแสดงรายการกระบวนการ
- /proc_kill — ฆ่ากระบวนการโดยใช้ PID
- /capture_display — จับภาพหน้าจอ
- /persist — สร้างความคงอยู่ (บริการ systemd)
การสั่งการและควบคุมและการแจกจ่าย — ผู้ปฏิบัติงานดำเนินการและกระจายมันอย่างไร
Telegram คือช่องทาง C2 ของ ZynorRAT โดยมัลแวร์จะตรวจสอบกับบอท @lraterrorsbot และรับคำสั่งผ่านช่องทางนั้น ภาพหน้าจอและสิ่งแปลกปลอมอื่นๆ ที่แชร์ผ่านบอท Telegram แสดงให้เห็นเพย์โหลดที่กระจายผ่านบริการแชร์ไฟล์ชื่อ Dosya.co การวิเคราะห์ภาพหน้าจอเหล่านั้นบ่งชี้ว่าผู้เขียนอาจใช้เครื่องที่ตนควบคุมเพื่อทดสอบหรือตรวจสอบการทำงาน (การติดเชื้อด้วยตนเอง) การใช้แพลตฟอร์มส่งข้อความสาธารณะอย่าง Telegram เป็น C2 ช่วยให้ผู้ปฏิบัติการใช้งานง่ายขึ้นและมีความยืดหยุ่นในการทำงานในระดับหนึ่ง แต่ยังสร้างตัวบ่งชี้ที่ชัดเจน (เช่น การควบคุมบอท การรับส่งข้อมูล Telegram ที่ผิดปกติ) ที่ผู้ป้องกันสามารถตามล่าได้
การระบุแหล่งที่มาและเส้นเวลา — สิ่งที่เราสามารถอนุมานได้อย่างสมเหตุสมผล
หลักฐานชี้ให้เห็นถึงกิจกรรมที่เริ่มต้นขึ้นในวันที่ 8 กรกฎาคม 2025 หลักฐานทางภาษาในแชทของบอทและข้อความอื่นๆ ที่กู้คืนมาได้บ่งชี้ว่าผู้ปฏิบัติการอาจเป็นชาวตุรกี หรืออย่างน้อยก็ใช้ทรัพยากรภาษาตุรกี และการวิเคราะห์ในปัจจุบันสนับสนุนให้ผู้ปฏิบัติการรายเดียวที่น่าจะเป็นผู้กระทำเพียงคนเดียว มากกว่าจะเป็นความพยายามในการพัฒนาแบบกลุ่ม อย่างไรก็ตาม การระบุแหล่งที่มาของบุคคลหรือประเทศควรระมัดระวังจนกว่าจะมีการยืนยันเพิ่มเติม
เหตุใดสิ่งนี้จึงสำคัญ — ความแปลกใหม่และแนวโน้มการพัฒนามัลแวร์
แม้ว่า RAT จะเป็นที่นิยม แต่ ZynorRAT กลับโดดเด่นเพราะดูเหมือนจะเป็นการใช้งานแบบคลีนรูม (ไม่ซ้ำซ้อนกับตระกูลที่รู้จัก) ที่ใช้ระบบควบคุมแบบรวมศูนย์อัตโนมัติผ่าน Telegram ความมุ่งมั่นในการขยายข้ามแพลตฟอร์มและการใช้ภาษา Go เน้นย้ำถึงแนวโน้มของผู้ให้บริการรายย่อยที่สามารถผลิตเครื่องมือสำหรับระบบปฏิบัติการหลายระบบได้อย่างรวดเร็ว ความซับซ้อนในระยะเริ่มต้นนี้แสดงให้เห็นว่า RAT ใหม่ๆ สามารถเกิดขึ้นและนำไปใช้งานได้อย่างรวดเร็วเพียงใด
การประเมินผลสรุป
ZynorRAT เป็นตัวอย่างร่วมสมัยของ RAT น้ำหนักเบาแต่ทรงพลัง สร้างขึ้นเพื่อการใช้งานข้ามแพลตฟอร์มและบริหารจัดการผ่านบริการส่งข้อความสำเร็จรูป การค้นพบนี้ตอกย้ำว่าแม้แต่ผู้ให้บริการรายเดียวก็สามารถสร้างเครื่องมือการเข้าถึงระยะไกลที่ยืดหยุ่นได้อย่างรวดเร็วด้วยภาษาสมัยใหม่ เช่น Go องค์กรต่างๆ ควรพิจารณา C2 ที่ใช้ Telegram และการใช้บริการแชร์ไฟล์ของผู้บริโภคโดยไม่คาดคิดว่าเป็นรายการค้นหาที่มีความสำคัญสูง เสริมสร้างความแข็งแกร่งในการสร้างบริการบนจุดปลายทาง และใช้มาตรการบรรเทาผลกระทบที่ระบุไว้ข้างต้นเพื่อลดความเสี่ยง
