ZynorRAT 惡意軟體
網路安全研究人員發現了一個新型惡意軟體家族,其中包含一個由 Go 語言編譯的遠端存取木馬 (RAT),名為 ZynorRAT。該植入程式針對 Linux 和 Windows 主機,透過 Telegram 機器人進行管理,根據現有證據,其首次出現於 2025 年 7 月 8 日。分析師報告稱,該惡意軟體與先前已分類的家族在程式碼和行為上均無重疊,這表明它是一種全新的實現方式,而非現有工具集的變體。
目錄
技術概況—語言、建構與跨平台說明
ZynorRAT 採用 Go 語言實現,允許單一程式碼庫產生適用於多個作業系統目標的二進位檔案。 Linux 版本功能豐富,並提供了一系列用於偵察、資料收集和遠端控制的功能。此外,我們還觀察到了 Windows 版本,其功能與 Linux 版本類似;然而,它仍然使用 Linux 風格的持久性技術(systemd 服務),這意味著 Windows 版本可能尚未完成或正在積極開發中。
功能-惡意軟體可以做什麼
該惡意軟體的主要任務是收集、洩漏和遠端訪問,並透過 Telegram 機器人(標識為 @lraterrorsbot,又稱為「lrat」)進行命令與控制 (C2)。部署後,ZynorRAT 會從該機器人接收進一步指令,並在受害者主機上本地執行任務。其關鍵的 Linux 功能包括文件瀏覽和洩漏、系統分析、進程列表和終止、螢幕截圖、任意命令執行以及透過 systemd 實現持久化。
觀察到的命令端點(在 Linux 版本中實作):
- /fs_list — 枚舉目錄
- /fs_get — 從主機竊取文件
- /metrics — 執行系統分析
- /proc_list — 執行與 ps 等效的命令來列出進程
- /proc_kill — 透過 PID 終止進程
- /capture_display — 截圖
- /persist — 建立持久性(systemd 服務)
命令控制與分發-操作員如何運作與傳播
Telegram 是 ZynorRAT 的 C2 通道:該惡意軟體會與 @lraterrorsbot 機器人進行連接,並透過該媒介接收命令。透過 Telegram 機器人分享的螢幕截圖和其他資訊顯示,有效載荷正在透過名為 Dosya.co 的檔案共享服務進行分發。對這些螢幕截圖的分析表明,作者可能使用他們控制的機器來測試或驗證功能(自我感染)。使用像 Telegram 這樣的公共訊息平台作為 C2 可以為操作者提供易用性和一定程度的操作靈活性,但它也創建了明顯的指標(機器人句柄、異常的 Telegram 流量),可供防禦者追蹤。
歸因和時間線——我們可以合理地推斷
證據表明,該活動始於2025年7月8日。機器人聊天記錄和其他已恢復文本中的語言痕跡表明,操作者可能是土耳其人,或至少使用土耳其語資源。目前的分析傾向於認為該活動是由單一、可能為單獨行動者發起,而非由團體開發。即便如此,在進一步證實之前,仍應謹慎判斷是否由個人或國家發起。
為什麼這很重要——新穎性和惡意軟體開發趨勢
儘管 RAT 很常見,但 ZynorRAT 卻格外引人注目,因為它似乎是一種「淨室」實現(與已知 RAT 家族沒有重疊),並透過 Telegram 實現自動化的集中式控制。其跨平台的野心和對 Go 語言的使用,凸顯了相對較小的業者快速開發功能強大的多作業系統工具的趨勢。早期的複雜性表明,新型 RAT 的出現和部署速度非常快。
總結評估
ZynorRAT 代表了輕量級但功能強大的 RAT 的當代範例,它專為跨平台部署而構建,並透過現成的訊息服務進行管理。它的發現強調,即使是單一操作員也可以使用 Go 等現代語言快速開發靈活的遠端存取工具。各組織機構應將基於 Telegram 的 C2 和意外使用消費者文件共享服務的行為視為高優先級的追蹤目標,強化端點上的服務創建,並應用上述緩解措施以降低暴露風險。
