Yakın tarihli bir tehdit av egzersizi sırasında, Sysdig Tehdit Araştırma Ekibi (TRT) Zynorrat olarak adlandırılan yeni bir örnek belirledi.
Bu GO tabanlı uzaktan erişim Trojan (RAT), hem Linux hem de Windows sistemleri için kapsamlı bir özel komut ve kontrol (C2) özellikleri sunar.
İlk olarak 8 Temmuz 2025’te Virustotal’a yüklenen Zynorrat, bilinen kötü amaçlı yazılım aileleriyle önemli bir örtüşme göstermez ve çoklu reuploadlar, geliştiricinin algılama oranını azaltma çabalarını göstermektedir.
Telgraftan yararlanan C2 omurgası olarak, kötü amaçlı yazılımların aerodinamik yönetimi ve otomasyonu, yeraltı satışlarına planlanmış bir geçiş önermektedir.
Telgraf kanallarının, ağ günlüklerinin, tersine çevrili dizelerin ve virustotal telemetrenin analizine dayanan TRT, Zynorrat’ın kökenini bir Türk geliştiricisine bağlar.
Zynorrat’ın “Zynor” dosya adı altında Virustotal’daki ilk çıkışı, 66 güvenlik satıcısının 22’sini tespit etti.
Daha sonraki bir yükleme, iki gün sonra, algılamanın 66’nın 16’sına düştüğünü ve yazarı tarafından aktif arıtmanın altını çizdiğini gördü.
Linux varyantı, yaklaşık 10 MB’lik bir ELF 64 bit x86-64 yürütülebilir bir şekilde derlenir, Radare2 aracılığıyla derin ters mühendisliği kolaylaştıran net metindeki sembolleri ve eserleri korur.
Yedi farklı Linux örneği, istikrarlı bir özellik setini teyit ederek aynı fonksiyonları ve mantığı paylaştı.
Dağıtım üzerine Zynorrat, “LraterRorsbot” adlı bir telgraf botu aracılığıyla bir C2 bağlantısı kurar.
Tüm saldırgan talimatları, Zynorrat’ın dosya pessfiltrasyonunu, sistem numaralandırmasını, ekran görüntüsünü yakalamasını, sistemD tabanlı kalıcılığı ve keyfi kabuk komut yürütmesini desteklemesine izin veren Telegram API’sından akar.
Dizin listeleri, handleListDirectory İletim için dinamik olarak yeni çizgiyi tanımlanmış dizeler oluşturan işlev.
. handleMetrics İşlev Profilleri Kurban makinelerini genel IP için “api.ipify.org” ı sorgulayarak, ana bilgisayar adını ve kullanıcıyı numaralandırarak ve ayrıntıları telgraf botuna ileterek.
Süreç numaralandırması çağırmaya dayanır ps Go’s OS/Exec paketi ve çıktıyı C2 mesajlarına birleştirerek. Dosya exfiltration, çok taraflı bir HTTP isteği ile elde edilir. main.sendDocumentdosya baytlarını telgrafa aktaran.
Ekran görüntüsü işlevselliği, ekran içeriğini yakalamak, PNG olarak kodlamak ve telgrafla iletmek için açık kaynaklı kbinani/ekran görüntüsü kütüphanesinden yararlanır.
Yürütülebilir Zynor, bu yazı sırasında hala web sitesinde barındırılıyor.
Rasgele komutlar varsayılan olarak, aşağıdaki kabuk yürütme handleShellCommandgirişleri önek bash -c tanınmadığında.
Zynorrat’ın Windows yinelemesi bir Windows yürütülebilir dosyaya derlenir, ancak SystemD hizmeti oluşturma dahil sadece linux kalıcılık mantığını korur ~/.config/systemd/user.
Bu anomali, pencerelerin yapımının geliştirilmesinde kaldığını gösterir, bu da yazarın platformlar arası bütünlük üzerinde tespit kaçış testine öncelik verdiğini gösterir.
Buna rağmen, Windows ikili hala Windows kalıcılık mekanizmaları için adaptasyonu bekleyen C2 fonksiyonlarının tamamını yerleştiriyor.
Hafifletme
Uzun süren komut dosyaları ve Tosint çıkarma yoluyla yürütülen Telegram kanal izleme, geliştirici etkileşimlerini ve kod eserlerinde ve ekran görüntülerinde “Halil” adının tekrar tekrar kullanılmasını ortaya çıkardı.
Makul bir şekilde, saldırganın VSCODE ve go run emretmek.
Bu bulgular, Zynorrat’ı cilalamayı ve para kazanmayı amaçlayan tek bir Türk oyuncunun hipotezini desteklemektedir.
On gün boyunca çıkarılan ağ günlükleri, birçoğu Google (AS396982) ve Amazon (AS16509) gibi büyük bulut sağlayıcılarına ait çok sayıda IP adresi verdi ve bu da gerçek kurbanlar yerine geçici bulut örneklerinde ilk testleri önerdi.
Türkcell (AS16135) gibi Türk ISS’leri de ortaya çıktı, ancak test altyapısı veya mağdurlara atıf belirsizliğini koruyor.
SYSDIG SAFE müşterileri, şüpheli DNS aramaları için kayda değer Sysdig çalışma zamanı etkinlikleri ve bir Yara kuralı, Mal_Zynor, ELF başlıklarını hedefleyen ve Telegram API dizelerini de dahil olmak üzere mevcut çalışma zamanı tespitlerinden yararlanır.
Önerilen savunmalar arasında sıkı giden DNS ve HTTP kontrollerinin uygulanması, atipik Systemd kullanıcı hizmetlerinin oluşturulması ve Zynorrat ikili dosyalarını tespit etmek için sağlanan YARA kuralının dağıtılması yer alır.
Sıçanlar tehdit manzarasında her yerde bulunsa da, Zynorrat’ın tamamen özel Go uygulaması ve Telegram tabanlı C2 sofistike, gelişmekte olan kötü amaçlı yazılımların gelişen yeteneklerinin altını çiziyor.
Bu aracın yakında yeraltı pazarlarına gireceğine dair yüksek güvenle, kuruluşlar çalışma zamanı tehdit algılaması ve hem Linux hem de Windows ortamlarını hedefleyen karşı tehditlere hızlı olay tepkisine öncelik vermelidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.