Zynorrat adlı sofistike yeni uzaktan erişim Truva atı, yenilikçi bir telgraf tabanlı komut ve kontrol altyapısı aracılığıyla hem Windows hem de Linux sistemlerini hedefleyen platformlar arası bir tehdit olarak ortaya çıktı.
İlk olarak Temmuz 2025’te keşfedilen bu GO derlemeli kötü amaçlı yazılım, uzaktan erişim yeteneklerinde önemli bir evrimi temsil eder ve geleneksel sıçan işlevselliğini, tespit edilmesinden kaçınmak ve tehlikeye atılan sistemlere kalıcı erişimi korumak için modern iletişim kanallarıyla birleştirir.
Kötü amaçlı yazılım, saldırı metodolojisinde olağanüstü çok yönlülük gösterir ve enfekte makineler ve tehdit aktörleri arasındaki birincil iletişim vektörü olarak telgraf botlarını kullanır.
Bu yaklaşım, saldırganların, meşru trafikle sorunsuz bir şekilde karışan şifreli mesajlaşma kanalları aracılığıyla komutlar vermesine, verileri pespiltrat etmesine ve kurban sistemlerini izlemesine olanak tanır.
Kötü niyetli amaçlar için popüler mesajlaşma platformlarının kullanılması, geleneksel ağ izlemenin şüpheli iletişimleri tespit edemeyeceği siber tehditlerin gelişen manzarasını yansıtır.
Zynorrat’ın çok platform tasarımı, tehdit aktörlerinin kurumsal Linux sunucularından Windows iş istasyonlarına kadar çeşitli bilgi işlem ortamlarından ödün vermelerini sağlayarak heterojen ağlarda birleşik bir saldırı yüzeyi oluşturuyor.
.webp)
SYSDIG araştırmacıları, rutin tehdit av egzersizleri sırasında kötü amaçlı yazılımları belirlediler, benzersiz uygulama modellerine ve onu mevcut sıçan ailelerinden ayıran platformlar arası uyumluluğuna dikkat çekti.
Kötü amaçlı yazılımların keşif zaman çizelgesi, devam eden geliştirme çabalarını ortaya koyuyor ve Virustotal’e çok sayıda numune yüklendi ve azalan tespit oranları gösteriyor ve yaratıcılarının aktif kaçırma iyileştirmelerini gösteriyor.
İzlenen telgraf kanallarından toplanan istihbarat, kötü amaçlı yazılımın muhtemelen Türkçe konuşan aktörler tarafından geliştirildiğini ve “Halil” tutamağı tarafından bilinen tek bir geliştiriciye işaret eden kanıtlarla, yeraltı pazarlarında ticari dağıtım için aracı hazırlayabilecek kanıtlar gösteriyor.
Gelişmiş kalıcılık ve komut yürütme mekanizmaları
Zynorrat, geliştiricinin farklı işletim sistemlerinde sistem yönetimi uygulamalarını anlamasını gösteren hedef platforma göre değişen sofistike kalıcılık tekniklerini uygular.
Linux Systems’ta, kötü amaçlı yazılım, ~/.config/systemd/user/system-audio-manager’a yerleştirilen özenle hazırlanmış bir hizmet tanımı dosyası aracılığıyla SystemD kullanıcı hizmetlerini kullanır[.]hizmet.
Bu yaklaşım, geleneksel güvenlik izleme araçları tarafından genellikle tespitten kaçan kullanıcıya özgü hizmet yönetimi yeteneklerinden yararlanır.
[Unit]
Description=System Audio Core Service
After=network.target
[Service]
ExecStart=/home/user/.local/bin/audio
Restart=always
RestartSec=10
[Install]
WantedBy=default.targetKalıcılık mekanizması, sonlandırılırsa kötü amaçlı yazılım işlemini her 10 saniyede bir yeniden başlatır ve bu da tehlikeye atılan sistemlere sürekli erişim sağlar.
Komut yürütme yetenekleri, dosya sistemi numaralandırmasını dahil ederek basit kabuk erişiminin ötesine uzanır /fs_list komutlar, süreç yönetimi /proc_list Ve /proc_kill işlevler ve kapsamlı sistem /metrics API.ipify.org sorgusunu sorgulayarak ana bilgisayar adı, kullanıcı bilgileri ve harici IP adreslerini toplayan komut.
Bu yetenekler, enfekte edilmiş makineleri kapsamlı istihbarat toplama platformlarına dönüştürerek, saldırganlara yanal hareket ve veri açığa çıkma işlemleri için gerekli ayrıntılı çevre bilincini sağlıyor.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.