Исследователи компании LevelBlue обнаружили новый троян удалённого доступа (RAT) QuimaRAT, способный атаковать операционные системы Windows, Linux и macOS. Вредоносное ПО предлагается в даркнете по модели Malware-as-a-Service (MaaS) — то есть сдаётся в аренду. Стоимость подписки варьируется от 150 долларов в месяц до 1200 долларов за постоянный доступ.
QuimaRAT полностью написан на Java, что обеспечивает ему широкую кроссплатформенность. Как отмечают в LevelBlue, программа построена по модульному принципу и поддерживает динамическое расширение функциональности с помощью зашифрованных плагинов, доставка, подключение и отключение которых осуществляются непосредственно из инфраструктуры управления и контроля (C2). Авторы также рекламируют возможность компилировать конечную полезную нагрузку в различные форматы — .jar, .exe, .app, .sh, .bat и .vbs — для разных сред и сценариев доставки.
При этом они гарантируют полную скрытность в Windows и Linux: никаких видимых интерфейсов или элементов рабочего стола. В macOS реализация таких функций, как захват экрана или перехват пользовательского ввода, потребует выданных пользователем административных привилегий. На общедоступном сайте авторов QuimaRAT посетителей встречает всплывающее сообщение, в котором утверждается, что платформа «предоставляет инструменты для проведения наступательных операций в области кибербезопасности, предназначенные исключительно для профессиональных исследований, авторизованного тестирования на проникновение и контролируемых образовательных сред».
Приводится и стандартное предупреждение о недопустимости использования в «злонамеренных, несанкционированных или незаконных целях». Однако специалисты LevelBlue считают такое позиционирование откровенно ложным. Злоумышленники предлагают сразу четыре инструмента: помимо самого QuimaRAT (на сайте он называется Quima Control) это Quima Builder — набор для компиляции вредоноса под конечные среды, Quima Loader — средство доставки полезной нагрузки через кэш браузеров, и Quima Dropper — генератор полезной нагрузки в форматах HTML/SVG.
Quima Loader позволяет оператору загрузить EXE-файл через специальную панель, выбрать формат доставки (например, HTA или LNK), а также шаблон целевой страницы (поддельная CAPTCHA или оповещение об обновлении ПО), после чего генерируется ссылка-загрузчик, при открытии которой в браузере жертвы запускается цепочка, ведущая к установке и запуску вредоноса в обход защитных механизмов, включая SmartScreen в Windows. Анализ LevelBlue показывает, что QuimaRAT представляет собой модульный Java-проект, созданный с использованием Apache Maven и содержащий встроенные библиотеки Java Native Access (JNA) для Windows, Linux и macOS на различных архитектурах.
Троянец декодирует и анализирует внутренний конфигурационный файл, необходимый для проверки среды, установки постоянного хранилища и инициализации управляющего сервера. Встроенные компоненты позволяют напрямую взаимодействовать с низкоуровневыми API операционных систем через код на C/C++, что свидетельствует о стремлении разработчиков обеспечить поддержку множества платформ. Перед запуском вредонос проверяет, что в заражённой системе выполняется только один его экземпляр: для этого он создаёт файл блокировки (lock file) во временном каталоге и предотвращает его одновременное использование другими процессами; при обнаружении уже существующей блокировки запуск дополнительного экземпляра подавляется.
Определив операционную систему, QuimaRAT выбирает дальнейшие шаги — обход песочниц и виртуальных сред, закрепление в системе и запуск основного компонента. Если в конфигурации включена функция Binder, троян способен одновременно с основным процессом RAT запускать дополнительную полезную нагрузку или приложение-обманку. Для обеспечения постоянного присутствия вредонос использует различные механизмы в зависимости от операционной системы: в Windows это ключи реестра, запланированные задания и папка Startup; в Linux — записи автозапуска .desktop и задания crontab, выполняемые при перезагрузке; в macOS — файл LaunchAgent plist.
Кроме того, QuimaRAT содержит механизм обновления адреса C2-сервера через Pastebin, что позволяет оператору динамически перенастраивать инфраструктуру, не меняя конечный компонент. Основная задача QuimaRAT — установить связь с управляющим сервером по протоколу TCP (или WebSocket, TLS, HTTPS) для получения и выполнения команд. Встроенный компонент отслеживает активность канала связи и автоматически восстанавливает соединение при его потере.
Вредонос также поддерживает индикатор отключения системы: он деактивирует модули восстановления связи при переходе системы в спящий режим и восстанавливает их после возвращения в нормальный режим. Функциональные возможности охватывают удалённое выполнение команд, доставку полезных нагрузок и плагинов, кражу учётных данных, закрепление в системе, передачу файлов, манипулирование содержимым буфера обмена и слежку через веб-камеру, что даёт злоумышленнику полный контроль над заражённой машиной.
Сверх типичного для продвинутых RAT арсенала QuimaRAT поддерживает бесфайловое выполнение shell-кода в хостах Windows и использует отказоустойчивую систему связи для постоянного доступа к скомпрометированным устройствам. Специалисты LevelBlue подчёркивают, что QuimaRAT следует рассматривать не как статичный имплант, а как модульную Java-платформу для создания RAT. Применённая обфускация уровня ProGuard, механизм переноса пространств имён Maven Shade, сохранённые символы времени выполнения и синтетические дешифраторы строк дополнительно подтверждают, что вредонос спроектирован для изменения статических сигнатур без изменения основного поведения.