Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

ZynorRAT: Go-троян с Telegram C2 для Linux и Windows

3
3 мин
Исследовательская группа Sysdig Threat Research выявила новый троян удалённого доступа — ZynorRAT. Вредонос написан на языке Go и нацелен на системы как под управлением Linux, так и Windows. В качестве основной инфраструктуры командования и контроля (C2) злоумышленники используют Telegram, что делает коммуникацию гибкой и устойчивой к простым средствам блокировки. ZynorRAT использует нетипичный для большинства Linux‑малвари метод закрепления: создание пользовательских служб systemd. Вредонос создаёт unit‑файл в пользовательском каталоге, что обеспечивает сохранение присутствия после перезагрузки системы. Анализ двоичных файлов показывает, что проект находится на ранней стадии разработки: в коде обнаружены артефакты тестирования, повторяющиеся строки и отладочные элементы. При декомпиляции исследователи заметили множественные ссылки на имя «халил«, что позволяет предположить возможную привязку к отдельному автору или актору. Такая стадия разработки также указывает на высокий риск коммер
Оглавление
Источник: www.sysdig.com
Источник: www.sysdig.com

Исследовательская группа Sysdig Threat Research выявила новый троян удалённого доступа — ZynorRAT. Вредонос написан на языке Go и нацелен на системы как под управлением Linux, так и Windows. В качестве основной инфраструктуры командования и контроля (C2) злоумышленники используют Telegram, что делает коммуникацию гибкой и устойчивой к простым средствам блокировки.

Ключевые возможности и поведение

  • Использование Telegram как C2: извлечение команд и эксфильтрация данных осуществляется через Telegram‑бота/инфраструктуру.
  • Перечисление и эксфильтрация файлов: команда /fs_list активирует функцию handleListDirectory, которая перечисляет каталоги на целевой системе и отправляет результаты обратно через Telegram. Функция handleGetFile проверяет доступность файла и, при успехе, передаёт его посредством sendDocument.
  • Управление процессами: функция handleListProcess собирает информацию о запущенных процессах; команда /proc_kill позволяет завершать процессы на машине жертвы.
  • Выполнение команд через shell: при отсутствии специальных команд от C2 RAT по умолчанию выполняет входящие команды непосредственно через оболочку, что даёт злоумышленнику гибкие возможности управления.
  • Кроссплатформенность: реализованы версии для Linux и Windows с сопоставимыми функциями.

Методы закрепления

ZynorRAT использует нетипичный для большинства Linux‑малвари метод закрепления: создание пользовательских служб systemd. Вредонос создаёт unit‑файл в пользовательском каталоге, что обеспечивает сохранение присутствия после перезагрузки системы.

Состояние разработки и атрибуция

Анализ двоичных файлов показывает, что проект находится на ранней стадии разработки: в коде обнаружены артефакты тестирования, повторяющиеся строки и отладочные элементы. При декомпиляции исследователи заметили множественные ссылки на имя «халил«, что позволяет предположить возможную привязку к отдельному автору или актору. Такая стадия разработки также указывает на высокий риск коммерциализации инструмента на подпольных рынках.

«Ранние артефакты тестирования и повторяющиеся указания на имя «халил» дают основания рассматривать ZynorRAT как проект, развиваемый либо единственным автором, либо небольшой группой», — отмечают аналитики.

Риски для организаций и пользователей

  • ZynorRAT предоставляет злоумышленникам полный набор удалённых возможностей: сбор информации о файловой системе, выкачивание файлов, управление процессами и удалённое выполнение команд.
  • Использование Telegram снижает вероятность обнаружения по классическим признакам C2‑трафика и усложняет блокировку.
  • Методы закрепления через пользовательские unit‑файлы systemd делают удаление угрозы более сложным при отсутствии комплексной проверки профилей автозагрузки.

Рекомендации по защите

  • Мониторить подозрительную активность, связанную с сетью и сторонними мессенджерами (включая Telegram) — особенно передачу бинарных данных и нестандартные обращения к API.
  • Проверять наличия нестандартных user‑level systemd unit‑файлов в пользовательских каталогах и аудит автозагрузок.
  • Ограничить возможность запуска непроверенных бинарников: применять политики Application Control/whitelisting и жесткие права выполнения для пользовательских профилей.
  • Использовать детекторы поведения и EDR, которые способны выявлять массовое перечисление файлов, массовые запросы процессов и попытки эксфильтрации через нестандартные каналы.
  • При обнаружении индикаторов компрометации — изолировать хост, собрать артефакты и провести тщательный форензик‑анализ.

Вывод

ZynorRAT — это функционально насыщенный, но ещё развивающийся RAT, который сочетает привычные для злоумышленников возможности с менее очевидными методами коммуникации и закрепления. Поскольку инструмент всё ещё на ранней стадии и проявляет признаки тестовой разработки, есть высокий риск его дальнейшего усовершенствования и распространения через подпольные рынки. Организациям и администраторам систем следует повысить бдительность и подготовить механизмы обнаружения и реагирования на команды и поведение, характерные для этого семейства вредоносов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "ZynorRAT: Go-троян с Telegram C2 для Linux и Windows".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Telegram
33,2 тыс интересуются