一种名为 ZynorRAT 的复杂新型远程访问木马已成为跨平台威胁,通过基于 Telegram 的创新命令和控制基础设施针对 Windows 和 Linux 系统。
这种 Go 编译的恶意软件于 2025 年 7 月首次发现,代表了远程访问功能的重大进步,它将传统 RAT 功能与现代通信渠道相结合,以逃避检测并保持对受感染系统的持续访问。
该恶意软件的攻击方法表现出了非凡的多功能性,利用 Telegram 机器人作为受感染机器和威胁行为者之间的主要通信媒介。
这种方法允许攻击者通过与合法流量无缝融合的加密消息通道发出命令、窃取数据并监控受害者系统。
流行的消息传递平台被用于恶意目的反映了网络威胁不断演变的态势,传统的网络监控可能无法检测到可疑通信。
ZynorRAT 的多平台设计使威胁行为者能够破坏从企业 Linux 服务器到 Windows 工作站的各种计算环境,从而在异构网络中创建统一的攻击面。
ZynorRAT 的 Windows 版本(来源 – Sysdig)
Sysdig 研究人员在例行威胁搜寻演习中发现了该恶意软件,并注意到其独特的实施模式和跨平台兼容性,使其有别于现有的 RAT 家族。
该恶意软件的发现时间线揭示了正在进行的开发工作,上传到 VirusTotal 的多个样本显示检测率正在下降,这表明其创建者正在积极改进规避措施。
从受监控的Telegram频道收集到的情报表明,该恶意软件很可能是由讲土耳其语的人员开发的,有证据表明,一名名为“halil”的开发人员可能正在准备将该工具在地下市场进行商业分发。
高级持久性和命令执行机制
ZynorRAT 实现了因目标平台而异的复杂持久性技术,展示了开发人员对不同操作系统的系统管理实践的理解。
在 Linux 系统上,该恶意软件通过位于 ~/.config/systemd/user/system-audio-manager[.]service 的精心设计的服务定义文件利用 systemd 用户服务。
这种方法利用了用户特定的服务管理功能,而这些功能通常无法被传统的安全监控工具检测到。
[Unit]
Description=System Audio Core Service
After=network.target
[Service]
ExecStart=/home/user/.local/bin/audio
Restart=always
RestartSec=10
[Install]
WantedBy=default.target持久机制会在终止时每 10 秒自动重新启动恶意软件进程,确保持续访问受感染的系统。
命令执行功能不仅限于简单的 shell 访问,还包括通过/fs_list命令进行文件系统枚举、通过/proc_list和函数进行进程管理、以及通过查询 api.ipify.org 收集主机名、用户信息和外部 IP 地址的命令/proc_kill进行全面的系统分析。/metrics
这些功能将受感染的机器转变为全面的情报收集平台,为攻击者提供横向移动和数据泄露操作所需的详细环境意识。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
