ZynorRAT 恶意软件
网络安全研究人员发现了一个新型恶意软件家族,其中包含一个由 Go 语言编译的远程访问木马 (RAT),名为 ZynorRAT。该植入程序针对 Linux 和 Windows 主机,通过 Telegram 机器人进行管理,根据现有证据,其首次出现于 2025 年 7 月 8 日。分析师报告称,该恶意软件与之前已分类的家族在代码和行为上均无重叠,这表明它是一种全新的实现方式,而非现有工具集的变体。
目录
技术概况——语言、构建和跨平台说明
ZynorRAT 采用 Go 语言实现,允许单个代码库生成适用于多个操作系统目标的二进制文件。Linux 版本功能丰富,并提供了一系列用于侦察、数据收集和远程控制的功能。此外,我们还观察到了 Windows 版本,其功能与 Linux 版本类似;然而,它仍然使用 Linux 风格的持久性技术(systemd 服务),这意味着 Windows 版本可能尚未完成或正在积极开发中。
功能——恶意软件可以做什么
该恶意软件的主要任务是收集、泄露和远程访问,并通过 Telegram 机器人(标识为 @lraterrorsbot,又名“lrat”)进行命令与控制 (C2)。部署后,ZynorRAT 会从该机器人接收进一步指令,并在受害者主机上本地执行任务。其关键的 Linux 功能包括文件浏览和泄露、系统分析、进程列表和终止、屏幕截图、任意命令执行以及通过 systemd 实现持久化。
观察到的命令端点(在 Linux 版本中实现):
- /fs_list — 枚举目录
- /fs_get — 从主机窃取文件
- /metrics — 执行系统分析
- /proc_list — 运行与 ps 等效的命令来列出进程
- /proc_kill — 通过 PID 终止进程
- /capture_display — 截取显示屏的屏幕截图
- /persist — 建立持久性(systemd 服务)
命令控制与分发——运营商如何运行和传播
Telegram 是 ZynorRAT 的 C2 通道:该恶意软件会与 @lraterrorsbot 机器人进行连接,并通过该媒介接收命令。通过 Telegram 机器人分享的屏幕截图和其他信息显示,有效载荷正在通过名为 Dosya.co 的文件共享服务进行分发。对这些屏幕截图的分析表明,作者可能使用他们控制的机器来测试或验证功能(自我感染)。使用像 Telegram 这样的公共消息平台作为 C2 可以为操作者提供易用性和一定程度的操作灵活性,但它也创建了明显的指标(机器人句柄、异常的 Telegram 流量),可供防御者追踪。
归因和时间线——我们可以合理推断
证据表明,该活动始于2025年7月8日。机器人聊天记录和其他已恢复文本中的语言痕迹表明,操作者可能是土耳其人,或至少使用土耳其语资源。目前的分析倾向于认为该活动是由单个、可能为单独行动者发起,而非由团体开发。即便如此,在进一步证实之前,仍应谨慎判断其是否由个人或国家发起。
为什么这很重要——新颖性和恶意软件开发趋势
尽管 RAT 很常见,但 ZynorRAT 却格外引人注目,因为它似乎是一种“净室”实现(与已知 RAT 家族没有重叠),并通过 Telegram 实现自动化的集中式控制。其跨平台的野心和对 Go 语言的使用,凸显了相对较小的运营者快速开发功能强大的多操作系统工具的趋势。早期的复杂性表明,新型 RAT 的出现和部署速度非常快。
总结评估
ZynorRAT 代表了轻量级但功能强大的 RAT 的当代范例,它专为跨平台部署而构建,并通过现成的消息服务进行管理。它的发现强调,即使是单个操作员也可以使用 Go 等现代语言快速开发灵活的远程访问工具。各组织机构应将基于 Telegram 的 C2 和意外使用消费者文件共享服务的行为视为高优先级的追踪目标,强化端点上的服务创建,并应用上述缓解措施以降低暴露风险。
