Mastodon Mastodon Mastodon Mastodon

QuimaRAT: мультиплатформений RAT для Windows, Linux і macOS

Photo of author

CyberSecureFox Editorial Team

Опубліковано:

Дослідники компанії LevelBlue виявили новий кросплатформений троян віддаленого доступу QuimaRAT, написаний мовою Java і націлений на Windows, Linux та macOS. Шкідливе ПЗ поширюється за моделлю «вредонос как услуга» (MaaS) із вартістю підписки від $150 на місяць до $1 200 за безстроковий доступ. QuimaRAT являє собою не одиничний імплант, а цілу платформу з чотирьох інструментів із модульною архітектурою, плагінною системою та множинними механізмами закріплення в системі. Організаціям, які використовують гетерогенні середовища, слід звернути увагу на індикатори компрометації та оновити правила виявлення.

Архітектура та технічні характеристики

Згідно з аналізом LevelBlue, QuimaRAT побудований як модульний Java-проєкт на базі Apache Maven. Ключова особливість — вбудовані бібліотеки Java Native Access (JNA) для Windows, Linux і macOS під різні архітектури процесорів. Ці нативні компоненти дають трояну змогу взаємодіяти з низькорівневими API операційних систем через код мовою C/C++, що забезпечує повноцінну мультиплатформену роботу.

Модульна архітектура підтримує динамічне розширення функціональності за допомогою зашифрованих плагінів, які доставляються, завантажуються, розвантажуються та оновлюються безпосередньо з інфраструктури керування (C2). За даними дослідників, Quima Control (основний RAT-компонент) містить 74 модулі для Windows та 46 модулів для macOS і Linux.

Перед виконанням QuimaRAT створює файл блокування у тимчасовому каталозі ОС, запобігаючи одночасному запуску кількох екземплярів. Потім троян визначає поточну операційну систему і на цій підставі обирає стратегію ухилення від пісочниць і віртуальних середовищ, механізм закріплення та спосіб доставки основного корисного навантаження.

Механізми закріплення

QuimaRAT використовує специфічні для кожної ОС методи закріплення:

  • Windows: ключі реєстру Run, заплановані завдання (Scheduled Tasks), папка автозапуску (Startup)
  • Linux: записи автозапуску .desktop, завдання crontab, прив’язані до перезавантаження
  • macOS: файл plist у LaunchAgent

Додатково троян підтримує функцію Binder — після її активації в конфігурації разом з основним процесом RAT запускається вбудоване додаткове корисне навантаження або застосунок-приманка.

Інфраструктура керування та комунікації

QuimaRAT встановлює зв’язок із C2-сервером через TCP, а також підтримує альтернативні канали: WebSocket, TLS та HTTPS. Вбудований компонент-наглядач (watchdog) відстежує активність каналу зв’язку й автоматично відновлює з’єднання у разі його втрати. Внутрішній прапорець стану завершення роботи визначає, чи мають продовжуватися операції повторного підключення та відновлення після активації режиму вимкнення.

Окремої уваги заслуговує опціональний механізм оновлення адреси C2-сервера через Pastebin. Ця функція, керована через конфігурацію, дає оператору змогу динамічно змінювати або ротувати інфраструктуру керування без потреби в повторному збиранні та повторному розповсюдженні корисного навантаження.

Екосистема інструментів Quima

QuimaRAT є частиною ширшої екосистеми, що включає чотири інструменти:

  • Quima Control — основний троян віддаленого доступу
  • Quima Builder — модульний конструктор і набір для запуску з підтримкою форматів XLL, LNK, VBS, JS, BAT, DOCM, XLSM, MSC, CPL та CHM
  • Quima Loader — сервіс доставки корисного навантаження через кеш браузера з підтримкою шаблонів цільових сторінок (підроблені перевірки CAPTCHA, сповіщення про оновлення ПЗ)
  • Quima Dropper — генератор корисних навантажень у форматах HTML та SVG

Конструктор дає змогу генерувати вихідні файли у форматах JAR, EXE, APP, SH, BAT та VBS, адаптуючи клієнт під різні середовища й сценарії доставки. Цінова модель передбачає проміжні тарифи: $300 за три місяці, $500 за пів року та $700 за рік.

На сайті платформи розміщено дисклеймер про те, що інструменти призначені «виключно для професійних досліджень безпеки, авторизованого тестування на проникнення та контрольованих освітніх середовищ». Подібні застереження типові для продавців шкідливого ПЗ і не мають юридичної сили.

Можливості та функціональність

За даними LevelBlue, QuimaRAT підтримує широкий набір можливостей:

  • Віддалене виконання команд
  • Доставка віддалених корисних навантажень і плагінів
  • Викрадення облікових даних
  • Передавання файлів
  • Маніпуляція буфером обміну
  • Спостереження через вебкамеру
  • Безфайлове виконання shell-коду на хостах Windows

Дослідники відзначають наявність індикаторів обфускації класу ProGuard, релокації Maven Shade, збережених символів часу виконання та синтетичних дешифраторів рядків. Усе це вказує на те, що QuimaRAT спроєктований для ротації статичних сигнатур без зміни базової поведінки — серйозна перешкода для традиційного сигнатурного виявлення.

Індикатори компрометації

Хеш зразка, пов’язаного з QuimaRAT, доступний для перевірки на VirusTotal:

  • SHA-256: bb0fbcb1e47ec04aa55555f3769fbc6f09694de1e9baae59260356b26b5af6a7

Оцінка впливу та рекомендації

Кросплатформеність QuimaRAT робить його потенційно небезпечним для організацій з гетерогенною інфраструктурою — особливо для компаній, де одночасно використовуються робочі станції на Windows, сервери на Linux та пристрої Apple. Модель MaaS знижує поріг входу для зловмисників: навіть низькокваліфіковані оператори отримують доступ до розвиненого інструментарію.

Варто враховувати, що низка заяв про можливості QuimaRAT (зокрема, про повну невидимість для антивірусів і обхід SmartScreen) походить із рекламних матеріалів продавця й не підтверджена незалежною верифікацією. Реальна ефективність ухилення від виявлення може відрізнятися від заявленої.

Для захисту рекомендується:

  • Додати зазначений хеш до правил виявлення EDR та SIEM
  • Моніторити створення файлів блокування у тимчасових каталогах ОС у поєднанні з мережевими підключеннями до нетипових зовнішніх хостів
  • Контролювати нетипові записи в автозапуску: ключі реєстру Run, файли .desktop, записи crontab та LaunchAgent plist
  • Відстежувати звернення до Pastebin з корпоративної мережі — вони можуть вказувати на механізм оновлення C2
  • Блокувати виконання JAR-файлів із неперевірених джерел та обмежити використання Java Runtime Environment на робочих станціях, де вона не потрібна
  • Перевіряти вихідні TCP-з’єднання, а також WebSocket- і HTTPS-трафік на предмет аномальних патернів, характерних для C2-комунікацій

QuimaRAT — приклад зростальної тенденції до створення повноцінних шкідливих платформ із сервісною моделлю розповсюдження. Ключова дія для команд безпеки зараз — інтегрувати опублікований індикатор компрометації в системи виявлення, посилити моніторинг механізмів автозапуску на всіх трьох платформах і обмежити неконтрольоване виконання Java-застосунків у корпоративному середовищі.


CyberSecureFox Editorial Team

Редакція CyberSecureFox висвітлює новини кібербезпеки, уразливості, malware-кампанії, ransomware-активність, AI security, cloud security та security advisories вендорів. Матеріали готуються на основі official advisories, даних CVE/NVD, сповіщень CISA, публікацій вендорів і відкритих звітів дослідників. Статті перевіряються перед публікацією та оновлюються за появи нових даних.

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.