複数ライセンス割引見積
脅威データベース マルウェア ZynorRATマルウェア

ZynorRATマルウェア

マルウェア, リモート管理ツールMezoまで
翻訳内容:

サイバーセキュリティ研究者らは、Go言語でコンパイルされたリモートアクセス型トロイの木馬(RAT)「ZynorRAT」で構成される、新たなマルウェアファミリーを特定しました。このマルウェアはLinuxとWindowsの両方のホストを標的とし、Telegramボットを介して管理されています。入手可能な証拠に基づくと、このファミリーは2025年7月8日に初めて出現しました。アナリストらは、過去にカタログ化されたファミリーとコードや動作に重複が見られないことを報告しており、既存のツールセットの亜種ではなく、新たな実装であることを示唆しています。

技術プロファイル - 言語、ビルド、クロスプラットフォームに関する注意事項

ZynorRATはGo言語で実装されており、単一のコードベースで複数のOSターゲット向けのバイナリを生成できます。Linuxビルドは機能が豊富で、偵察、データ収集、リモート制御のための幅広い機能を備えています。Windowsビルドも確認されており、機能的にはLinux版と類似しているように見えますが、Linuxスタイルの永続化技術(systemdサービス)を使用しているため、Windows版のアーティファクトは未完成か、開発中である可能性があります。

機能 — マルウェアが何ができるか

このマルウェアの主な目的は、情報収集、情報流出、リモートアクセスであり、コマンドアンドコントロール(C2)はTelegramボット(@lraterrorsbot、別名「lrat」)を介して実行されます。ZynorRATは展開されると、このボットからさらなる指示を受け取り、被害者ホスト上でローカルタスクを実行します。Linuxの主な機能には、ファイルの閲覧と情報流出、システムプロファイリング、プロセスのリスト表示と終了、スクリーンショットのキャプチャ、任意のコマンド実行、systemdによる永続化などがあります。

観察されたコマンドエンドポイント (Linux ビルドで実装されているもの):

  • /fs_list — ディレクトリを列挙する
  • /fs_get — ホストからファイルを盗み出す
  • /metrics — システムプロファイリングを実行する
  • /proc_list — ps と同等のコマンドを実行してプロセスを一覧表示します
  • /proc_kill — PIDでプロセスを強制終了する
  • /capture_display — ディスプレイのスクリーンショットを撮る
  • /persist — 永続性を確立する(systemd サービス)

指揮統制と配布 - オペレーターがどのように実行し、拡散するか

ZynorRATのC2チャネルはTelegramです。このマルウェアは@lraterrorsbotボットにチェックインし、このチャネルを介してコマンドを受信します。Telegramボットを通じて共有されたスクリーンショットやその他のアーティファクトには、Dosya.coというファイル共有サービスを介してペイロードが配布されていることが示されています。これらのスクリーンショットを分析した結果、作成者は自身の管理下にあるマシンを使用して、機能のテストまたは検証(自己感染)を行っていた可能性が示唆されています。TelegramのようなパブリックメッセージングプラットフォームをC2チャネルとして使用すると、運用担当者にとって操作が容易になり、ある程度の運用の柔軟性が得られますが、同時に、防御側が追跡できる明確な指標(ボットハンドル、異常なTelegramトラフィック)も作成されます。

帰属とタイムライン — 合理的に推測できること

証拠は、2025年7月8日に活動が始まったことを示しています。ボットチャットやその他の回収されたテキストに残された言語痕跡から、運営者はトルコ人であるか、少なくともトルコ語のリソースを使用している可能性が示唆されています。また、現在の分析では、グループによる開発活動ではなく、単独の、おそらく単独の行為者によるものである可能性が示唆されています。とはいえ、さらなる裏付けが得られるまでは、特定の個人または国家への帰属については慎重に検討する必要があります。

これがなぜ重要なのか - 新規性とマルウェア開発の傾向

RATは一般的ですが、ZynorRATはクリーンルーム実装(既存のファミリーとの重複なし)であるように思われ、Telegramを介して自動化された集中管理を実装している点で注目に値します。クロスプラットフォームへの野心とGo言語の使用は、比較的小規模な運営者が高性能なマルチOSツールを迅速に開発するという傾向を浮き彫りにしています。ここで見られる初期段階の洗練度は、新しいRATがいかに急速に出現し、実用化されるかを示しています。

最終評価

ZynorRATは、クロスプラットフォーム展開向けに構築され、既製のメッセージングサービスを通じて管理される、軽量ながらも高機能なRATの現代的な好例です。この発見は、Goなどの最新言語を用いることで、たとえ単独のオペレーターであっても、柔軟なリモートアクセスツールを迅速に作成できることを浮き彫りにしています。組織は、TelegramベースのC2攻撃や一般ユーザー向けファイル共有サービスの予期せぬ利用を最優先のハント対象として扱い、エンドポイントにおけるサービス構築を強化し、上記の緩和策を適用して脆弱性を軽減する必要があります。

トレンド

Suproa Tm Asjs による Miaiw Qoaks

望ましくない可能性のあるプログラム, アドウェア, ブラウザハイジャッカー
デバイスを侵入型アプリケーションから保護することは、セキュリティとパフォーマンスの両方を確保する上で不可欠です。サイバーセキュリティの専門家が分析した数多くの潜在的に不要なプログラム(PUP)の中で、特に懸念される例の一つが、Suproa Tm AsjsによるMiaiw Qoaksです。このアプリは便利なソフトウェアを装っていますが、実際には何のメリットもありません。むしろ、プライバシー、シ...

偽のKeetaウェブサイト詐欺

不正なウェブサイト
デジタル技術の急速な発展は、無数のビジネスチャンスを生み出す一方で、オンライン詐欺もかつてないほど増加しています。サイバー犯罪者は、有名ブランドやブロックチェーンプロジェクトを悪用し、無防備な被害者を詐欺に誘い込もうとしています。その一例として、偽Keetaウェブサイト詐欺が挙げられます。この詐欺では、攻撃者が正規のKeetaネットワークを装う偽ページを作成し、ユーザーから暗号通貨を盗み出し...

Madstudiyo.com

アドウェア
インターネットには豊富なリソースが溢れていますが、同時に、何も知らない訪問者を騙すために設計された欺瞞的なウェブサイトも存在します。Madstudiyo.comのようなページは、正規のサイトを装いながら、ユーザーを巧妙に騙して悪意のあるブラウザ通知を有効にさせ、さらなるリスクにさらそうとします。こうした仕組みを理解することは、オンラインで安全を保つために不可欠です。 Madstudiyo.c...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
56,727
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Discord 灰色の画面で立ち往生

問題
43,401
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
43,332
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...