Исследователи компании LevelBlue выявили новый кроссплатформенный троян удалённого доступа QuimaRAT, написанный на Java и нацеленный на Windows, Linux и macOS. Вредоносное ПО распространяется по модели «вредонос как услуга» (MaaS) с ценой подписки от $150 за месяц до $1 200 за бессрочный доступ. QuimaRAT представляет собой не единичный имплант, а целую платформу из четырёх инструментов с модульной архитектурой, плагинной системой и множественными механизмами закрепления в системе. Организациям, использующим гетерогенные среды, следует обратить внимание на индикаторы компрометации и обновить правила обнаружения.
Архитектура и технические характеристики
Согласно анализу LevelBlue, QuimaRAT построен как модульный Java-проект на базе Apache Maven. Ключевая особенность — встроенные библиотеки Java Native Access (JNA) для Windows, Linux и macOS под различные архитектуры процессоров. Эти нативные компоненты позволяют трояну взаимодействовать с низкоуровневыми API операционных систем через код на C/C++, что обеспечивает полноценную мультиплатформенную работу.
Модульная архитектура поддерживает динамическое расширение функциональности через зашифрованные плагины, которые доставляются, загружаются, выгружаются и обновляются непосредственно с инфраструктуры управления (C2). По данным исследователей, Quima Control (основной RAT-компонент) включает 74 модуля для Windows и 46 модулей для macOS и Linux.
Перед выполнением QuimaRAT создаёт файл блокировки во временной директории ОС, предотвращая запуск нескольких экземпляров одновременно. Затем троян определяет текущую операционную систему и на основании этого выбирает стратегию уклонения от песочниц и виртуальных сред, механизм закрепления и способ доставки основной полезной нагрузки.
Механизмы закрепления
QuimaRAT использует специфичные для каждой ОС методы закрепления:
- Windows: ключи реестра Run, запланированные задачи (Scheduled Tasks), папка автозагрузки (Startup)
- Linux: записи автозапуска .desktop, задачи crontab с привязкой к перезагрузке
- macOS: файл plist в LaunchAgent
Дополнительно троян поддерживает функцию Binder — при её активации в конфигурации одновременно с основным процессом RAT запускается встроенная дополнительная полезная нагрузка или приложение-приманка.
Инфраструктура управления и коммуникации
QuimaRAT устанавливает связь с C2-сервером по TCP, а также поддерживает альтернативные каналы: WebSocket, TLS и HTTPS. Встроенный компонент-наблюдатель (watchdog) отслеживает активность канала связи и автоматически восстанавливает соединение при его потере. Внутренний флаг состояния завершения работы управляет тем, должны ли продолжаться операции переподключения и восстановления после активации режима отключения.
Отдельного внимания заслуживает опциональный механизм обновления адреса C2-сервера через Pastebin. Эта функция, управляемая через конфигурацию, позволяет оператору динамически менять или ротировать инфраструктуру управления без необходимости пересборки и повторного распространения полезной нагрузки.
Экосистема инструментов Quima
QuimaRAT является частью более широкой экосистемы, включающей четыре инструмента:
- Quima Control — основной троян удалённого доступа
- Quima Builder — модульный конструктор и набор для запуска с поддержкой форматов XLL, LNK, VBS, JS, BAT, DOCM, XLSM, MSC, CPL и CHM
- Quima Loader — сервис доставки полезной нагрузки через кэш браузера с поддержкой шаблонов целевых страниц (поддельные проверки CAPTCHA, уведомления об обновлениях ПО)
- Quima Dropper — генератор полезных нагрузок в форматах HTML и SVG
Конструктор позволяет генерировать выходные файлы в форматах JAR, EXE, APP, SH, BAT и VBS, адаптируя клиент под различные среды и сценарии доставки. Ценовая модель включает промежуточные тарифы: $300 за три месяца, $500 за полгода и $700 за год.
На сайте платформы размещён дисклеймер о том, что инструменты предназначены «исключительно для профессиональных исследований безопасности, авторизованного тестирования на проникновение и контролируемых образовательных сред». Подобные оговорки типичны для продавцов вредоносного ПО и не имеют юридической силы.
Возможности и функциональность
По данным LevelBlue, QuimaRAT поддерживает широкий набор возможностей:
- Удалённое выполнение команд
- Доставка удалённых полезных нагрузок и плагинов
- Кража учётных данных
- Передача файлов
- Манипуляция буфером обмена
- Наблюдение через веб-камеру
- Бесфайловое выполнение шелл-кода на хостах Windows
Исследователи отмечают наличие индикаторов обфускации класса ProGuard, релокации Maven Shade, сохранённых символов времени выполнения и синтетических дешифраторов строк. Всё это указывает на то, что QuimaRAT спроектирован для ротации статических сигнатур без изменения базового поведения — серьёзное препятствие для традиционного сигнатурного обнаружения.
Индикаторы компрометации
Хеш образца, связанного с QuimaRAT, доступен для проверки на VirusTotal:
- SHA-256:
bb0fbcb1e47ec04aa55555f3769fbc6f09694de1e9baae59260356b26b5af6a7
Оценка воздействия и рекомендации
Кроссплатформенность QuimaRAT делает его потенциально опасным для организаций с гетерогенной инфраструктурой — особенно для компаний, где одновременно используются рабочие станции на Windows, серверы на Linux и устройства Apple. Модель MaaS снижает порог входа для злоумышленников: даже низкоквалифицированные операторы получают доступ к продвинутому инструментарию.
Следует учитывать, что ряд заявлений о возможностях QuimaRAT (в частности, о полной невидимости для антивирусов и обходе SmartScreen) исходит из рекламных материалов продавца и не подтверждён независимой верификацией. Реальная эффективность уклонения от обнаружения может отличаться от заявленной.
Для защиты рекомендуется:
- Добавить указанный хеш в правила обнаружения EDR и SIEM
- Мониторить создание файлов блокировки во временных директориях ОС в сочетании с сетевыми подключениями к нехарактерным внешним хостам
- Контролировать нетипичные записи в автозагрузке: ключи реестра Run, файлы .desktop, записи crontab и LaunchAgent plist
- Отслеживать обращения к Pastebin из корпоративной сети — они могут указывать на механизм обновления C2
- Блокировать выполнение JAR-файлов из непроверенных источников и ограничить использование Java Runtime Environment на рабочих станциях, где она не требуется
- Проверять исходящие TCP-соединения, а также WebSocket- и HTTPS-трафик на предмет аномальных паттернов, характерных для C2-коммуникаций
QuimaRAT — пример растущей тенденции к созданию полноценных вредоносных платформ с сервисной моделью распространения. Ключевое действие для команд безопасности сейчас — интегрировать опубликованный индикатор компрометации в системы обнаружения, усилить мониторинг механизмов автозагрузки на всех трёх платформах и ограничить неконтролируемое выполнение Java-приложений в корпоративной среде.