Шкідливе програмне забезпечення ZynorRAT
Дослідники з кібербезпеки виявили нове сімейство шкідливих програм, що складається з трояна віддаленого доступу (RAT), скомпільованого на Go, під назвою ZynorRAT. Імплантат націлений на хости Linux та Windows, керується через бота Telegram та, згідно з наявними даними, вперше з'явився 8 липня 2025 року. Аналітики повідомляють про відсутність перекриття коду чи поведінки з раніше каталогізованими сімействами, що свідчить про нову реалізацію, а не про варіант існуючого набору інструментів.
Зміст
Технічний профіль — мова, збірка та кросплатформність
ZynorRAT реалізовано мовою Go, що дозволяє використовувати одну кодову базу для створення бінарних файлів для кількох цільових ОС. Збірка для Linux є багатофункціональною та надає широкий набір можливостей для розвідки, збору даних та дистанційного керування. Також була виявлена збірка для Windows, яка функціонально схожа на варіант для Linux; однак вона все ще використовує методи збереження в стилі Linux (служби systemd), що означає, що артефакт Windows може бути неповним або перебувати в активній розробці.
Можливості — що може робити шкідливе програмне забезпечення
Основне завдання шкідливого програмного забезпечення — збір, вилучення даних та віддалений доступ, а керування командами та управлінням (C2) здійснюється через бота Telegram (ідентифікованого як @lraterrorsbot, також відомий як «lrat»). Після розгортання ZynorRAT отримує подальші інструкції від цього бота та виконує завдання локально на хості жертви. Ключові можливості Linux включають перегляд та вилучення файлів, профілювання системи, перелік та завершення процесів, створення скріншотів, виконання довільних команд та збереження даних через systemd.
Спостережувані кінцеві точки команд (як реалізовано у збірці Linux):
- /fs_list — перерахувати каталоги
- /fs_get — витягти файли з хоста
- /metrics — виконати профілювання системи
- /proc_list — виконати еквівалент ps для переліку процесів
- /proc_kill — завершити процес за PID
- /capture_display — зробити скріншоти дисплея
- /persist — встановити персистентність (служба systemd)
Командно-контрольне управління та розподіл — як оператор керує та поширює його
Telegram – це канал зв’язку (C2) ZynorRAT: шкідливе програмне забезпечення взаємодіє з ботом @lraterrorsbot та отримує команди через цей канал. Знімки екрана та інші артефакти, що поширюються через бота Telegram, показують, що корисні навантаження розповсюджуються через сервіс обміну файлами під назвою Dosya.co. Аналіз цих знімків екрана вказує на те, що автор міг використовувати машини, якими він керує, для тестування або перевірки функціональності (самозараження). Використання публічної платформи обміну повідомленнями, такої як Telegram, як каналу зв’язку (C2), забезпечує простоту використання для оператора та певний рівень операційної гнучкості, але також створює чіткі індикатори (ідентифікатор бота, незвичайний трафік Telegram), на які можуть полювати захисники.
Атрибуція та хронологія — що ми можемо обґрунтовано припустити
Докази вказують на активність, яка почалася 8 липня 2025 року. Мовні артефакти в чатах бота та іншому відновленому тексті свідчать про те, що оператор може бути турком або принаймні використовувати турецькомовні ресурси, а поточний аналіз свідчить про одного, ймовірно, самотнього діяча, а не про групові зусилля розробника. Тим не менш, атрибуція до особи чи нації повинна залишатися обережною до подальшого підтвердження.
Чому це важливо — новизна та тенденції розробки шкідливих програм
Хоча RAT є поширеними, ZynorRAT примітний тим, що, схоже, є реалізацією «чистої кімнати» (без перетинів з відомими сімействами), яка реалізує автоматизоване, централізоване керування через Telegram. Його кросплатформні амбіції та використання Go підкреслюють тенденцію відносно невеликих операторів швидко створювати потужні інструменти для кількох ОС. Рання стадія розробки тут показує, як швидко можуть з'являтися та впроваджуватися нові RAT.
Заключна оцінка
ZynorRAT являє собою сучасний приклад легкої, але потужної RAT, створеної для кросплатформного розгортання та керованої за допомогою готового сервісу обміну повідомленнями. Його відкриття підкреслює, що навіть окремі оператори можуть швидко створювати гнучкі інструменти віддаленого доступу, використовуючи сучасні мови програмування, такі як Go. Організаціям слід ставитися до C2 на основі Telegram та неочікуваного використання сервісів обміну файлами споживачами як до високопріоритетних елементів пошуку, посилити створення сервісів на кінцевих точках та застосовувати перелічені вище заходи для зменшення ризику.
