Киберпреступность

QuimaRAT стал конструктором троянов для трех ОС

Маша Даровская
By Маша Даровская , IT-редактор и автор
QuimaRAT стал конструктором троянов для трех ОС
Обложка © Anonhaven

Исследователи нашли QuimaRAT — модульный троян удаленного доступа, который продается как готовая платформа для атак на Windows, Linux и macOS. Это целый набор инструментов: панель управления зараженными устройствами, сборщик новых образцов, загрузчик через браузер и генератор приманок в веб-форматах.

CNews обратил внимание на исследование LevelBlue 8 июля. В отчете компании говорится, что QuimaRAT написан на Java и распространяется по модели «вредонос как услуга»: доступ продают по подписке от $150 за месяц до $1200 за пожизненный доступ. В объявлении продавцы называют QuimaRAT v2.0 платформой с «70+ модулями», шифрованием AES-256, графической панелью и режимом «полной незаметности».

Трояны удаленного доступа давно используются для кражи данных, слежки и закрепления в инфраструктуре. Их задача простая: дать оператору возможность управлять зараженным компьютером так, будто он сидит за ним сам. QuimaRAT выделяется тем, что его авторы упаковали эту схему в коммерческий конструктор. Покупателю не нужно писать вредонос с нуля — он получает набор модулей, форматов доставки и панель управления.

LevelBlue описывает QuimaRAT как Java-проект на Apache Maven. В образце обнаружены встроенные библиотеки Java Native Access, то есть прослойка, которая позволяет Java-коду обращаться к низкоуровневым функциям Windows, Linux и macOS через нативный код C/C++. Такая архитектура объясняет, почему один и тот же проект можно адаптировать под разные операционные системы и аппаратные архитектуры.

Внутри QuimaRAT есть зашифрованный конфигурационный файл config.dat. Перед запуском вредонос расшифровывает настройки, проверяет среду, пытается понять, не находится ли он в песочнице или виртуальной машине, а затем выбирает сценарий закрепления. Для Windows это могут быть ключи автозапуска в реестре, планировщик задач и папка автозагрузки. Для Linux — записи .desktop и задания crontab при перезагрузке. Для macOS — файл LaunchAgent plist. The Hacker News отдельно отмечает, что QuimaRAT также умеет обновлять адрес сервера управления через Pastebin, что упрощает смену инфраструктуры без пересборки вредоноса.

Платформа состоит из четырех частей. Quima Control — основная панель удаленного управления. Quima Builder — сборщик, который формирует конечный файл под нужный сценарий. Quima Loader — загрузчик полезной нагрузки через кэш браузера. Quima Dropper — генератор приманок в HTML и SVG, то есть в форматах, которые пользователь обычно воспринимает как веб-страницу или изображение.

В рекламных материалах авторы обещают сборку в форматах JAR, EXE, APP, SH, BAT и VBS. Отдельно продвигается доставка через HTA и LNK, а в качестве приманок упоминаются фальшивая проверка CAPTCHA и уведомление об обновлении программы. Сценарий выглядит привычно для современных атак: пользователь открывает страницу, видит правдоподобный элемент интерфейса, нажимает кнопку, запускает небольшой «чистый» загрузчик, после чего основной вредонос берется из кэша браузера и стартует в системе. В Windows такой подход заявлен как способ обхода SmartScreen — встроенного защитного фильтра Microsoft, который предупреждает о подозрительных файлах.

После запуска QuimaRAT проверяет, не работает ли уже другой экземпляр на той же машине. Для этого он создает файл блокировки во временном каталоге операционной системы. Такой прием снижает риск сбоев и помогает вредоносу вести себя предсказуемо на зараженном узле.

Дальше троян устанавливает связь с сервером управления по TCP, WebSocket, TLS или HTTPS. В него встроен механизм контроля соединения: если связь пропадает, компонент пытается восстановить доступ. Исследователи LevelBlue насчитали 23 реализованные команды и 212 команд на уровне протокола, что указывает на возможность расширения функций через загружаемые модули, дополнительные бинарные файлы или бесфайловые нагрузки.

Базовый набор возможностей типичен для опасного трояна удаленного доступа: выполнение команд, доставка новых файлов и модулей, кража учетных данных, передача файлов, работа с буфером обмена, слежка через веб-камеру и закрепление после перезагрузки. В Windows также заявлено бесфайловое выполнение shell-кода — машинных инструкций, которые могут запускаться в памяти без сохранения отдельного файла на диск. Это усложняет работу классических антивирусов, которые сильно завязаны на проверку файловой системы.

Есть новость? Станьте автором.

Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.