Киберразведка Sysdig обнаружила новый турецкий троянец ZynorRAT на языке Go

ZynorRAT впервые был загружен в VirusTotal 8 июля 2025 года и не имеет значительного сходства с известными семействами вредоносного программного обеспечения. Исследователи уверены, что разработчик активно работает над снижением детектируемости троянца, о чем свидетельствуют многократные загрузки обновленных версий в VirusTotal, где количество срабатываний антивирусов постепенно уменьшается. Использование Telegram для управления ботнетом упрощает администрирование и позволяет автору автоматизировать свои действия. На основе анализа Telegram-чатов, сетевых логов, строк, обнаруженных в процессе обратного проектирования, и данных VirusTotal, TRT с уверенностью заявляет о турецком происхождении ZynorRAT.

Наблюдение за Telegram-каналами, связанными с вредоносной программой, позволило специалистам отслеживать этапы её разработки. Предположительно, целью автора является последующая продажа инструмента после его завершения. Для детального изучения ZynorRAT был проведен анализ его возможностей, исследованы атрибуционные признаки, а также составлены сигнатуры и индикаторы компрометации (Indicators of Compromise, IoCs).

ZynorRAT разработан на Go и предоставляет злоумышленнику широкий набор возможностей. Его основное предназначение - сбор, извлечение данных и удаленный доступ, централизованно управляемые через Telegram-бота. Мессенджер используется в качестве основной инфраструктуры C2, через которую вредоносная программа получает команды после внедрения на компьютер жертвы.

Исследователи обнаружили несколько экземпляров этого вредоносного кода в VirusTotal. Первый был загружен под именем «zynor» 8 июля 2025 года и был помечен как вредоносный лишь 22 из 66 антивирусных вендоров. Два дня спустя, 10 июля, была загружена новая версия, которая вызвала ещё меньше подозрений - только 16 из 66 поставщиков средств защиты смогли её обнаружить. Это указывает на то, что разработчик активно дорабатывает ZynorRAT, чтобы сделать его менее заметным.

Проанализированный исполняемый файл (SHA256: bceccc566fe3ae3675f7e20100f979eaf2053d9a4f3a3619a550a496a4268ef5) представляет собой 64-битный исполняемый файл ELF, скомпилированный для архитектуры x86-64 с помощью Go. Файл не упакован и не лишен символов, что означает, что большая часть его функциональности, символы и артефакты остаются в открытом тексте. Его размер составляет почти 10 МБ, что является значительным, но ожидаемым для исполняемых файлов, скомпилированных с помощью Go.

С помощью инструмента обратного проектирования radare2 исследователям удалось выявить основные функции вредоносной программы, а также их обертки. Это послужило хорошей отправной точкой для этапа декомпиляции, в ходе которого были раскрыты важные детали внутренней работы ZynorRAT. Логика функций оставалась неизменной во всех семи проанализированных образцах для Linux.

Троянец выполняет операции, запрашиваемые удаленным злоумышленником через Telegram-бота, который выступает в роли командного центра. В настоящее время вредоносная программа поддерживает такие функции, как извлечение файлов, перечисление системной информации, захват скриншотов, обеспечение устойчивости через сервисы systemd и выполнение произвольных команд.

Функция handleListDirectory, вызываемая командой /fs_list от C2, отвечает за перечисление каталогов на компьютере жертвы с последующей отправкой результатов боту. Функция handleMetrics, активируемая командой /metrics, выполняет перечисление системной информации, включая запрос IP-адреса через api.ipify.org, получение имени хоста и текущего пользователя. Функция handleListProcesses, вызываемая командой /proc_list, использует команду ps для получения списка процессов.

Для извлечения файлов предназначена функция handleGetFile, обрабатывающая команду /fs_get. Она проверяет существование и доступность запрашиваемого файла, после чего, в случае успеха, вызывает sendDocument для подготовки и отправки содержимого файла через HTTP-запрос к Telegram-боту. Функция handleScreenshot, активируемая командой /capture_display, использует открытую библиотеку для захвата изображения с экрана, преобразует его в PNG и отправляет закодированную версию боту.

ZynorRAT реализует механизм устойчивости через пользовательские сервисы systemd, что встречается не так часто. Он создает файл службы по пути ~/.config/systemd/user/system-audio-manager.service, а затем перезагружает демон с помощью systemctl --user daemon-reload.

Троянец способен завершать работающие процессы на компьютере жертвы при получении команды /proc_kill, используя для этого команду kill с указанием PID целевого процесса. Если полученная команда не соответствует заранее определенным инструкциям, ввод выполняется по умолчанию с помощью bash -c <команда>, что обеспечивает злоумышленнику возможность удаленного выполнения кода.

Версия ZynorRAT для Windows также была скомпилирована с помощью Go и идентична версии для Linux. Однако, несмотря на компиляцию под Windows, она выполняет логику обеспечения устойчивости, предназначенную только для Linux, с использованием команд systemd и путей .config. Вероятно, разработчик вредоносного программного обеспечения проверял возможности обнаружения VirusTotal и ещё не полностью адаптировал Windows-версию.

Используя Tosint, исследователям удалось извлечь информацию о Telegram-боте. Бот с именем «lrat» и пользовательским именем «lraterrorsbot» выступает в роли центра управления. С помощью специального скрипта на Python специалистам удалось отследить обновления и получить идентификатор чата злоумышленника, что позволило перенаправить все прошлые сообщения из чата атакующего для анализа. В чате были обнаружены многочисленные свидетельства скомпрометированных систем, выполненных команд и сделанных скриншотов.

Распространение исполняемых файлов осуществляется через файлообменный сервис Dosya.co. Анализ скриншотов, полученных от бота, указывает на то, что вредоносная программа находится на ранних стадиях разработки. На изображениях видно, как злоумышленник компилирует и запускает троянец с помощью VSCode и команды go run, а также тестирует функциональность, например, выполняя /capture_display.

Из перехваченных сообщений Telegram были извлечены IP-адреса, значительная часть которых принадлежит облачным провайдерам, таким как Google, Microsoft и Amazon. Это позволяет предположить, что тестирование вредоносного программного обеспечения началось примерно 9 июля на облачных инстансах, не принадлежащих реальным жертвам. Обратный поиск по некоторым IP-адресам Amazon подтвердил, что они связаны с экземплярами EC2. Часть турецких IP-адресов, вероятно, принадлежит самому злоумышленнику, однако нельзя исключать, что некоторые из извлеченных адресов могут относиться к потенциальным жертвам.

В ходе анализа имя «halil» неоднократно появлялось в декомпилированном двоичном файле, а позже и на скриншотах с машины злоумышленника, полученных через Telegram. Вероятно, это имя или псевдоним разработчика, и данный троянец является продуктом работы одного человека. Исследователи предсказывают, что эта вредоносная программа, находящаяся на ранней стадии разработки, вскоре может появиться в продаже на теневых форумах. Это не является чем-то необычным: относительно опытные злоумышленники часто разрабатывают вредоносное программное обеспечение с целью последующей продажи, а не для самостоятельного проведения атак.

На текущий момент не обнаружено свидетельств активной продажи ZynorRAT на подпольных форумах. Поскольку разработка, вероятно, ещё не завершена, троянец, скорее всего, не был публично выпущен. Пользователи Sysdig Secure защищены от угрозы ZynorRAT с помощью набора правил, включая обнаружение DNS-запросов к реконнас-сервисам и подозрительным доменам, а также правило YARA MAL_ZYNOR, которое ищет характерные строки, такие как main.handleShellCommand и URL-адреса Telegram API.

Несмотря на обилие троянов удаленного доступа на рынке, разработчики вредоносного программного обеспечения продолжают создавать их с нуля. ZynorRAT представляет собой новую вредоносную программу, разработанную на Go и находящуюся на ранней стадии развития, о чем свидетельствуют многочисленные тестовые скриншоты и команды, полученные из его Telegram-бота. Его возможности по настройке и автоматизированному управлению подчеркивают растущую изощренность современного вредоносного программного обеспечения даже на начальных этапах создания.

С высокой степенью уверенности можно утверждать, что этот инструмент вскоре появится на теневых рынках, будь то форумы или Telegram, где продажа вредоносного программного обеспечения является обычным явлением. ZynorRAT предоставляет несколько критически важных возможностей, таких как извлечение файлов, разведка, обеспечение устойчивости и удаленное выполнение кода на машинах жертв. Ожидается, что автор продолжит разработку версии для Windows, чтобы расширить охват. Обнаружение угроз во время выполнения остается важнейшим компонентом стратегии глубокой эшелонированной обороны для противодействия подобным угрозам. Linux становится все более привлекательной целью для злоумышленников, и количество инструментов, доступных в их арсенале, продолжает расти.

Domains

• api.telegram.org

SHA256

• 037e5fe028a60604523b840794d06c8f70a9c523a832a97ecaaccd9f419e364a
• 237a40e522f2f1e6c71415997766b4b23f1526e2f141d68ff334de3ff5b0c89f
• 47338da15a35c49bcd3989125df5b082eef64ba646bb7a2db1565bb413b69323
• 48c2a8453feea72f8d9bfb9c2731d811e7c300f3e1935bddd7188324aab7d30d
• 4cd270b49c8d5c31560ef94dc0bee2c7927d6f3e77173f660e2f3106ae7131c3
• 8b09ba6e006718371486b3655588b438ade953beecf221af38160cbe6fedd40a
• a6c450f9abff8a22445ba539c21b24508dd326522df525977e14ec17e11f7d65
• bceccc566fe3ae3675f7e20100f979eaf2053d9a4f3a3619a550a496a4268ef5
• c890c6e6b7cc6984cd9d9061d285d814841e0b8136286e6fd943013260eb8461
• f9eb2a54e500b3ce42950fb75af30955180360c978c00d081ea561c86e54262d