新型跨平台恶意软件 ZynorRAT:通过 Telegram 控制的远程访问木马
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
Sysdig 威胁研究团队发现了一款名为 ZynorRAT 的新型跨平台远程访问木马,使用 Go 语言编写,能够攻击 Linux 和 Windows 系统。该木马通过 Telegram 机器人进行命令控制,具备文件窃取和系统信息收集等功能。尽管仍在开发中,ZynorRAT 可能会在地下市场出售,开发者可能来自土耳其。
🎯
关键要点
- Sysdig 威胁研究团队发现新型跨平台远程访问木马 ZynorRAT,使用 Go 语言编写,攻击 Linux 和 Windows 系统。
- ZynorRAT 通过 Telegram 机器人进行命令控制,具备文件窃取和系统信息收集等功能。
- 该恶意软件于 2025 年 7 月 8 日首次上传至 VirusTotal,初期仅被 22 家安全厂商标记为恶意软件。
- ZynorRAT 连接 Telegram 机器人作为核心 C2 通道,能够实时下达指令,受害机器响应迅速。
- 核心功能包括文件窃取、目录枚举、系统信息收集、进程管理、屏幕截图和 Shell 命令执行。
- 恶意软件通过滥用 systemd 用户服务实现持久化,创建伪装条目以实现开机自启。
- 开发者可能来自土耳其,未来可能在地下市场出售,传播渠道包括 Telegram 机器人和土耳其文件共享服务。
- Sysdig 警告称,一旦开发成熟,ZynorRAT 可能迅速出现在地下市场。
➡️
