Mastodon Mastodon Mastodon Mastodon

QuimaRAT zielt als Java-RAT auf Windows, Linux und macOS

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Forschende von LevelBlue haben einen neuen plattformübergreifenden Remote-Access-Trojaner QuimaRAT entdeckt, der in Java geschrieben ist und auf Windows, Linux und macOS abzielt. Die Malware wird im Modell „Malware as a Service“ (MaaS) vertrieben, mit Abopreisen von 150 US-Dollar pro Monat bis zu 1.200 US-Dollar für unbefristeten Zugriff. QuimaRAT ist kein einzelnes Implantat, sondern eine komplette Plattform aus vier Werkzeugen mit modularer Architektur, Plug-in-System und mehreren Persistenzmechanismen. Organisationen mit heterogenen Umgebungen sollten die Indikatoren einer Kompromittierung beachten und ihre Erkennungsregeln aktualisieren.

Architektur und technische Merkmale

Laut der Analyse von LevelBlue ist QuimaRAT als modular aufgebautes Java-Projekt auf Basis von Apache Maven implementiert. Ein zentrales Merkmal sind die integrierten Bibliotheken Java Native Access (JNA) für Windows, Linux und macOS für verschiedene Prozessorarchitekturen. Diese nativen Komponenten ermöglichen es dem Trojaner, über C/C++-Code mit Low-Level-APIs der Betriebssysteme zu interagieren, was den vollwertigen plattformübergreifenden Betrieb sicherstellt.

Die modulare Architektur erlaubt eine dynamische Erweiterung der Funktionalität über verschlüsselte Plug-ins, die direkt von der Command-and-Control-Infrastruktur (C2) nachgeladen, entladen und aktualisiert werden. Nach Angaben der Forschenden umfasst Quima Control (die zentrale RAT-Komponente) 74 Module für Windows sowie 46 Module für macOS und Linux.

Vor der Ausführung legt QuimaRAT eine Lock-Datei im temporären Verzeichnis des Betriebssystems an, um zu verhindern, dass mehrere Instanzen gleichzeitig gestartet werden. Anschließend ermittelt der Trojaner das aktuell laufende Betriebssystem und wählt basierend darauf die Strategie zur Umgehung von Sandboxes und virtuellen Umgebungen, den Persistenzmechanismus und die Methode zur Auslieferung der eigentlichen Nutzlast.

Persistenzmechanismen

QuimaRAT nutzt betriebssystemspezifische Methoden zur Persistenz:

  • Windows: Registry-Schlüssel Run, geplante Aufgaben (Scheduled Tasks), Autostart-Ordner (Startup)
  • Linux: Autostart-Einträge über .desktop-Dateien, crontab-Jobs mit Ausführung beim Neustart
  • macOS: plist-Datei in LaunchAgent

Darüber hinaus unterstützt der Trojaner die Funktion Binder – ist sie in der Konfiguration aktiviert, wird zusammen mit dem Hauptprozess der RAT eine zusätzliche integrierte Nutzlast oder eine Köderanwendung gestartet.

C2-Infrastruktur und Kommunikation

QuimaRAT nimmt über TCP Verbindung zum C2-Server auf und unterstützt zudem alternative Kanäle wie WebSocket, TLS und HTTPS. Eine eingebaute Watchdog-Komponente überwacht die Aktivität des Kommunikationskanals und stellt die Verbindung bei Verlust automatisch wieder her. Ein interner Shutdown-Status-Flag steuert, ob Reconnect- und Wiederherstellungsversuche nach Aktivierung des Abschaltmodus fortgesetzt werden sollen.

Besonders hervorzuheben ist ein optionaler Mechanismus zur Aktualisierung der C2-Serveradresse über Pastebin. Diese über die Konfiguration gesteuerte Funktion erlaubt es den Operatoren, die C2-Infrastruktur dynamisch zu ändern oder zu rotieren, ohne die Nutzlast neu bauen und erneut verteilen zu müssen.

Quima-Tool-Ökosystem

QuimaRAT ist Teil eines breiteren Ökosystems, das vier Werkzeuge umfasst:

  • Quima Control – der zentrale Trojaner für Remote Access
  • Quima Builder – modularer Builder und Start-Toolkit mit Unterstützung für die Formate XLL, LNK, VBS, JS, BAT, DOCM, XLSM, MSC, CPL und CHM
  • Quima Loader – Dienst zur Auslieferung von Nutzlasten über den Browser-Cache mit Unterstützung für Vorlagenseiten (gefälschte CAPTCHA-Prüfungen, Benachrichtigungen über Software-Updates)
  • Quima Dropper – Generator für Nutzlasten im HTML- und SVG-Format

Mit dem Builder lassen sich Output-Dateien in den Formaten JAR, EXE, APP, SH, BAT und VBS erzeugen, sodass der Client an unterschiedliche Umgebungen und Lieferpfade angepasst werden kann. Das Preismodell umfasst Zwischenstufen: 300 US-Dollar für drei Monate, 500 US-Dollar für ein halbes Jahr und 700 US-Dollar für ein Jahr.

Auf der Website der Plattform findet sich ein Disclaimer, wonach die Werkzeuge „ausschließlich für professionelle Sicherheitsforschung, autorisierte Penetrationstests und kontrollierte Lernumgebungen“ bestimmt seien. Solche Hinweise sind für Anbieter von Malware typisch und besitzen keine rechtliche Relevanz.

Fähigkeiten und Funktionalität

Nach Angaben von LevelBlue unterstützt QuimaRAT eine breite Palette an Funktionen:

  • Remote-Ausführung von Befehlen
  • Auslieferung entfernter Nutzlasten und Plug-ins
  • Diebstahl von Zugangsdaten
  • Dateiübertragung
  • Manipulation der Zwischenablage
  • Überwachung über die Webcam
  • Dateilose Ausführung von Shellcode auf Windows-Hosts

Die Forschenden verweisen auf Indikatoren für Obfuskation mittels ProGuard, Relocation mit Maven Shade, erhaltene Laufzeitsymbole und synthetische String-Entschlüsseler. All dies deutet darauf hin, dass QuimaRAT darauf ausgelegt ist, statische Signaturen zu rotieren, ohne das grundlegende Verhalten zu ändern – ein erhebliches Hindernis für klassische signaturbasierte Erkennung.

Indikatoren einer Kompromittierung

Der Hash eines mit QuimaRAT in Verbindung stehenden Samples steht zur Überprüfung bei VirusTotal zur Verfügung:

  • SHA-256: bb0fbcb1e47ec04aa55555f3769fbc6f09694de1e9baae59260356b26b5af6a7

Auswirkungsanalyse und Empfehlungen

Die Plattformübergreifigkeit von QuimaRAT macht ihn potenziell gefährlich für Organisationen mit heterogener Infrastruktur – insbesondere für Unternehmen, in denen gleichzeitig Windows-Arbeitsstationen, Linux-Server und Apple-Geräte im Einsatz sind. Das MaaS-Modell senkt die Einstiegshürde für Angreifende: Selbst wenig versierte Operatoren erhalten Zugang zu einem fortgeschrittenen Toolkit.

Zu beachten ist, dass einige Angaben zu den Fähigkeiten von QuimaRAT (insbesondere zur vollständigen Unsichtbarkeit gegenüber Antivirenlösungen und zur Umgehung von SmartScreen) aus Werbematerialien des Verkäufers stammen und nicht unabhängig verifiziert wurden. Die tatsächliche Wirksamkeit der Umgehung von Erkennungslösungen kann von den Werbeaussagen abweichen.

Zum Schutz werden folgende Maßnahmen empfohlen:

  • Den genannten Hash in EDR- und SIEM-Erkennungsregeln hinterlegen
  • Die Erstellung von Lock-Dateien in temporären Verzeichnissen des Betriebssystems in Kombination mit Netzwerkverbindungen zu untypischen externen Hosts überwachen
  • Ungewöhnliche Autostart-Einträge kontrollieren: Registry-Schlüssel Run, .desktop-Dateien, crontab-Einträge und LaunchAgent-plist-Dateien
  • Zugriffe auf Pastebin aus dem Unternehmensnetz überwachen – sie können auf den Mechanismus zur Aktualisierung der C2-Adresse hinweisen
  • Die Ausführung von JAR-Dateien aus nicht verifizierten Quellen blockieren und den Einsatz der Java Runtime Environment auf Arbeitsstationen einschränken, auf denen sie nicht erforderlich ist
  • Ausgehende TCP-Verbindungen sowie WebSocket- und HTTPS-Traffic auf anomale Muster prüfen, die typisch für C2-Kommunikation sind

QuimaRAT ist ein Beispiel für den Trend hin zu vollwertigen Malware-Plattformen mit servicemodellbasierter Verbreitung. Für Sicherheitsteams ist es jetzt entscheidend, den veröffentlichten Indikator einer Kompromittierung in Erkennungssysteme zu integrieren, das Monitoring von Autostartmechanismen auf allen drei Plattformen zu verstärken und die unkontrollierte Ausführung von Java-Anwendungen in der Unternehmensumgebung einzuschränken.


CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.