Mastodon Mastodon Mastodon Mastodon

QuimaRAT — новый модульный Java-троян для Windows, Linux и macOS, продаваемый как сервис

Фото автора

CyberSecureFox Editorial Team

Опубликовано:

Исследователи компании LevelBlue выявили новый кроссплатформенный троян удалённого доступа QuimaRAT, написанный на Java и нацеленный на Windows, Linux и macOS. Вредоносное ПО распространяется по модели «вредонос как услуга» (MaaS) с ценой подписки от $150 за месяц до $1 200 за бессрочный доступ. QuimaRAT представляет собой не единичный имплант, а целую платформу из четырёх инструментов с модульной архитектурой, плагинной системой и множественными механизмами закрепления в системе. Организациям, использующим гетерогенные среды, следует обратить внимание на индикаторы компрометации и обновить правила обнаружения.

Архитектура и технические характеристики

Согласно анализу LevelBlue, QuimaRAT построен как модульный Java-проект на базе Apache Maven. Ключевая особенность — встроенные библиотеки Java Native Access (JNA) для Windows, Linux и macOS под различные архитектуры процессоров. Эти нативные компоненты позволяют трояну взаимодействовать с низкоуровневыми API операционных систем через код на C/C++, что обеспечивает полноценную мультиплатформенную работу.

Модульная архитектура поддерживает динамическое расширение функциональности через зашифрованные плагины, которые доставляются, загружаются, выгружаются и обновляются непосредственно с инфраструктуры управления (C2). По данным исследователей, Quima Control (основной RAT-компонент) включает 74 модуля для Windows и 46 модулей для macOS и Linux.

Перед выполнением QuimaRAT создаёт файл блокировки во временной директории ОС, предотвращая запуск нескольких экземпляров одновременно. Затем троян определяет текущую операционную систему и на основании этого выбирает стратегию уклонения от песочниц и виртуальных сред, механизм закрепления и способ доставки основной полезной нагрузки.

Механизмы закрепления

QuimaRAT использует специфичные для каждой ОС методы закрепления:

  • Windows: ключи реестра Run, запланированные задачи (Scheduled Tasks), папка автозагрузки (Startup)
  • Linux: записи автозапуска .desktop, задачи crontab с привязкой к перезагрузке
  • macOS: файл plist в LaunchAgent

Дополнительно троян поддерживает функцию Binder — при её активации в конфигурации одновременно с основным процессом RAT запускается встроенная дополнительная полезная нагрузка или приложение-приманка.

Инфраструктура управления и коммуникации

QuimaRAT устанавливает связь с C2-сервером по TCP, а также поддерживает альтернативные каналы: WebSocket, TLS и HTTPS. Встроенный компонент-наблюдатель (watchdog) отслеживает активность канала связи и автоматически восстанавливает соединение при его потере. Внутренний флаг состояния завершения работы управляет тем, должны ли продолжаться операции переподключения и восстановления после активации режима отключения.

Отдельного внимания заслуживает опциональный механизм обновления адреса C2-сервера через Pastebin. Эта функция, управляемая через конфигурацию, позволяет оператору динамически менять или ротировать инфраструктуру управления без необходимости пересборки и повторного распространения полезной нагрузки.

Экосистема инструментов Quima

QuimaRAT является частью более широкой экосистемы, включающей четыре инструмента:

  • Quima Control — основной троян удалённого доступа
  • Quima Builder — модульный конструктор и набор для запуска с поддержкой форматов XLL, LNK, VBS, JS, BAT, DOCM, XLSM, MSC, CPL и CHM
  • Quima Loader — сервис доставки полезной нагрузки через кэш браузера с поддержкой шаблонов целевых страниц (поддельные проверки CAPTCHA, уведомления об обновлениях ПО)
  • Quima Dropper — генератор полезных нагрузок в форматах HTML и SVG

Конструктор позволяет генерировать выходные файлы в форматах JAR, EXE, APP, SH, BAT и VBS, адаптируя клиент под различные среды и сценарии доставки. Ценовая модель включает промежуточные тарифы: $300 за три месяца, $500 за полгода и $700 за год.

На сайте платформы размещён дисклеймер о том, что инструменты предназначены «исключительно для профессиональных исследований безопасности, авторизованного тестирования на проникновение и контролируемых образовательных сред». Подобные оговорки типичны для продавцов вредоносного ПО и не имеют юридической силы.

Возможности и функциональность

По данным LevelBlue, QuimaRAT поддерживает широкий набор возможностей:

  • Удалённое выполнение команд
  • Доставка удалённых полезных нагрузок и плагинов
  • Кража учётных данных
  • Передача файлов
  • Манипуляция буфером обмена
  • Наблюдение через веб-камеру
  • Бесфайловое выполнение шелл-кода на хостах Windows

Исследователи отмечают наличие индикаторов обфускации класса ProGuard, релокации Maven Shade, сохранённых символов времени выполнения и синтетических дешифраторов строк. Всё это указывает на то, что QuimaRAT спроектирован для ротации статических сигнатур без изменения базового поведения — серьёзное препятствие для традиционного сигнатурного обнаружения.

Индикаторы компрометации

Хеш образца, связанного с QuimaRAT, доступен для проверки на VirusTotal:

  • SHA-256: bb0fbcb1e47ec04aa55555f3769fbc6f09694de1e9baae59260356b26b5af6a7

Оценка воздействия и рекомендации

Кроссплатформенность QuimaRAT делает его потенциально опасным для организаций с гетерогенной инфраструктурой — особенно для компаний, где одновременно используются рабочие станции на Windows, серверы на Linux и устройства Apple. Модель MaaS снижает порог входа для злоумышленников: даже низкоквалифицированные операторы получают доступ к продвинутому инструментарию.

Следует учитывать, что ряд заявлений о возможностях QuimaRAT (в частности, о полной невидимости для антивирусов и обходе SmartScreen) исходит из рекламных материалов продавца и не подтверждён независимой верификацией. Реальная эффективность уклонения от обнаружения может отличаться от заявленной.

Для защиты рекомендуется:

  • Добавить указанный хеш в правила обнаружения EDR и SIEM
  • Мониторить создание файлов блокировки во временных директориях ОС в сочетании с сетевыми подключениями к нехарактерным внешним хостам
  • Контролировать нетипичные записи в автозагрузке: ключи реестра Run, файлы .desktop, записи crontab и LaunchAgent plist
  • Отслеживать обращения к Pastebin из корпоративной сети — они могут указывать на механизм обновления C2
  • Блокировать выполнение JAR-файлов из непроверенных источников и ограничить использование Java Runtime Environment на рабочих станциях, где она не требуется
  • Проверять исходящие TCP-соединения, а также WebSocket- и HTTPS-трафик на предмет аномальных паттернов, характерных для C2-коммуникаций

QuimaRAT — пример растущей тенденции к созданию полноценных вредоносных платформ с сервисной моделью распространения. Ключевое действие для команд безопасности сейчас — интегрировать опубликованный индикатор компрометации в системы обнаружения, усилить мониторинг механизмов автозагрузки на всех трёх платформах и ограничить неконтролируемое выполнение Java-приложений в корпоративной среде.


CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.