Специалисты компании LevelBlue обнаружили и разобрали по косточкам новый образец вредоносного ПО под названием QuimaRAT. Исследователи Чен Авиани и Никита Казимирский изучили троян и пришли к выводу: перед ними не разовая поделка, а полноценный коммерческий продукт, работающий по модели Malware-as-a-Service. Написан он на Java, а значит одинаково хорошо чувствует себя на Windows, Linux и macOS.

Цена вопроса известна с точностью до доллара. Месяц доступа обойдётся покупателю в 150 долларов, три месяца — 300, полгода — 500. За годовую подписку продавцы просят 700 долларов, а пожизненный доступ к платформе стоит 1200. Такая тарифная сетка больше напоминает подписку на облачный сервис, чем чёрный рынок киберпреступности, и в этом, пожалуй, и заключается главная особенность QuimaRAT — авторы относятся к своему детищу как к легальному продукту.
Техническая начинка построена на модульной архитектуре с использованием Apache Maven. Внутри — зашифрованные плагины, которые можно доставлять, загружать, выгружать и обновлять прямо с сервера управления, без перекомпиляции основного файла. Для работы на разных операционных системах разработчики встроили библиотеки Java Native Access для Windows, Linux и macOS под разные архитектуры процессоров, а низкоуровневое взаимодействие с системными API реализовано через код на C и C++. При запуске малварь считывает и расшифровывает внутренний конфигурационный файл — оттуда берутся параметры проверки окружения, установки в автозагрузку и связи с управляющим сервером.
Продавцы предлагают покупателям билдер, способный собирать финальный вредоносный файл в самых разных форматах: JAR, EXE, APP, SH, BAT, VBS. Заявленная скрытность впечатляет — для Windows и Linux авторы гарантируют полное отсутствие видимых элементов интерфейса и ярлыков на рабочем столе. С macOS сложнее: часть функций вроде захвата экрана и управления вводом требует, чтобы жертва сама выдала разрешения администратора — обойти системную защиту Apple полностью пока не удалось даже разработчикам QuimaRAT.
На сайте продавцов красуется всплывающее окно с дисклеймером — классический трюк для ухода от юридической ответственности. Там написано, что платформа «предоставляет инструменты для наступательной безопасности, предназначенные исключительно для профессиональных исследований в области безопасности, авторизованного тестирования на проникновение и контролируемых учебных сред». Тут же предупреждение о недопустимости использования в «злонамеренных, несанкционированных или незаконных целях». Формулировка стандартная для теневого рынка — примерно так же оправдываются продавцы отмычек и глушилок GPS.
Продуктовая линейка состоит из четырёх инструментов. Quima Control, он же собственно QuimaRAT — средство удалённого администрирования с 74 модулями для Windows и 46 модулями для macOS и Linux. Quima Builder — модульный конструктор и загрузчик, поддерживающий форматы XLL, LNK, VBS, JS, BAT, DOCM, XLSM, MSC, CPL, CHM. Quima Loader занимается доставкой полезной нагрузки через кэш браузера: оператор загружает EXE-файл через панель управления, выбирает формат доставки (например, HTA или LNK), подбирает шаблон посадочной страницы, и жертве остаётся лишь нажать кнопку загрузки. Сохраняется небольшой «чистый» файл-загрузчик, которому браузер доверяет автоматически. Когда цель его запускает, тот считывает уже закэшированную полезную нагрузку и запускает основной вредоносный код, обходя защиту Windows SmartScreen. Четвёртый инструмент, Quima Dropper, генерирует HTML- и SVG-файлы для доставки вредоноса.
Сами разработчики не скрывают гордости за проделанную работу. На сайте есть их цитата: «Троян, набор инструментов для сборки, веб-загрузчик и HTML-дроппер — каждый построен вокруг того, чему Windows уже доверяет. Нативные пути выполнения, системные ресурсы, чистый вывод. Антивирус не видит ничего необычного. Пользователь тоже».
Защита от анализа реализована через механизм единственного экземпляра: малварь создаёт файл блокировки во временной директории операционной системы и завершает работу, если обнаруживает уже запущенный процесс. Определение операционной системы влияет на выбор стратегии обхода песочниц и виртуальных машин, способ закрепления и метод доставки основной нагрузки. Есть и опциональная функция биндера — она позволяет запускать дополнительную встроенную полезную нагрузку или программу-приманку одновременно с основным процессом трояна.
Закрепление в системе реализовано отдельно под каждую платформу. В Windows используются ключи автозапуска в реестре, запланированные задачи и папка автозагрузки. В Linux — записи автозапуска.desktop и задания crontab при перезагрузке. На macOS — файлы LaunchAgent plist.
Связь с управляющим сервером устроена гибко. Есть опциональный механизм обновления адреса C2 через Pastebin — конфигурация позволяет менять инфраструктуру управления на лету, без пересборки и повторной доставки вредоносного файла. Основной протокол связи — TCP, но предусмотрены и альтернативы: WebSocket, TLS, HTTPS. Отдельный компонент-наблюдатель следит за тем, чтобы канал связи оставался активным, и переподключается при потере контакта с сервером. Внутренний флаг состояния отключения контролирует, продолжает ли троян сетевую активность, попытки переподключения и операции восстановления — как только режим отключения активирован, все эти процессы останавливаются.
Полный набор возможностей QuimaRAT включает удалённое выполнение команд, доставку дополнительных полезных нагрузок и плагинов, кражу учётных данных, механизмы закрепления, передачу файлов, манипуляции с буфером обмена, слежку через веб-камеру и бесфайловое выполнение шелл-кода — последнее реализовано только для Windows. Аналитики LevelBlue также обнаружили признаки обфускации класса ProGuard, релокацию через Maven Shade, сохранённые символы времени выполнения и синтетические расшифровщики строк.
Итоговая оценка исследователей звучит так: «QuimaRAT следует рассматривать как модульную платформу для Java-трояна, а не как единичный статичный имплант... разработанную для смены статичных отпечатков без изменения базового поведения». По сути, это означает, что перед защитниками не конкретный вирус с определённой сигнатурой, а живая платформа, которая постоянно меняет обличье, оставаясь функционально прежней — и именно эта способность к мутации делает QuimaRAT угрозой на годы вперёд, а не на один сезон.

Изображение носит иллюстративный характер
Цена вопроса известна с точностью до доллара. Месяц доступа обойдётся покупателю в 150 долларов, три месяца — 300, полгода — 500. За годовую подписку продавцы просят 700 долларов, а пожизненный доступ к платформе стоит 1200. Такая тарифная сетка больше напоминает подписку на облачный сервис, чем чёрный рынок киберпреступности, и в этом, пожалуй, и заключается главная особенность QuimaRAT — авторы относятся к своему детищу как к легальному продукту.
Техническая начинка построена на модульной архитектуре с использованием Apache Maven. Внутри — зашифрованные плагины, которые можно доставлять, загружать, выгружать и обновлять прямо с сервера управления, без перекомпиляции основного файла. Для работы на разных операционных системах разработчики встроили библиотеки Java Native Access для Windows, Linux и macOS под разные архитектуры процессоров, а низкоуровневое взаимодействие с системными API реализовано через код на C и C++. При запуске малварь считывает и расшифровывает внутренний конфигурационный файл — оттуда берутся параметры проверки окружения, установки в автозагрузку и связи с управляющим сервером.
Продавцы предлагают покупателям билдер, способный собирать финальный вредоносный файл в самых разных форматах: JAR, EXE, APP, SH, BAT, VBS. Заявленная скрытность впечатляет — для Windows и Linux авторы гарантируют полное отсутствие видимых элементов интерфейса и ярлыков на рабочем столе. С macOS сложнее: часть функций вроде захвата экрана и управления вводом требует, чтобы жертва сама выдала разрешения администратора — обойти системную защиту Apple полностью пока не удалось даже разработчикам QuimaRAT.
На сайте продавцов красуется всплывающее окно с дисклеймером — классический трюк для ухода от юридической ответственности. Там написано, что платформа «предоставляет инструменты для наступательной безопасности, предназначенные исключительно для профессиональных исследований в области безопасности, авторизованного тестирования на проникновение и контролируемых учебных сред». Тут же предупреждение о недопустимости использования в «злонамеренных, несанкционированных или незаконных целях». Формулировка стандартная для теневого рынка — примерно так же оправдываются продавцы отмычек и глушилок GPS.
Продуктовая линейка состоит из четырёх инструментов. Quima Control, он же собственно QuimaRAT — средство удалённого администрирования с 74 модулями для Windows и 46 модулями для macOS и Linux. Quima Builder — модульный конструктор и загрузчик, поддерживающий форматы XLL, LNK, VBS, JS, BAT, DOCM, XLSM, MSC, CPL, CHM. Quima Loader занимается доставкой полезной нагрузки через кэш браузера: оператор загружает EXE-файл через панель управления, выбирает формат доставки (например, HTA или LNK), подбирает шаблон посадочной страницы, и жертве остаётся лишь нажать кнопку загрузки. Сохраняется небольшой «чистый» файл-загрузчик, которому браузер доверяет автоматически. Когда цель его запускает, тот считывает уже закэшированную полезную нагрузку и запускает основной вредоносный код, обходя защиту Windows SmartScreen. Четвёртый инструмент, Quima Dropper, генерирует HTML- и SVG-файлы для доставки вредоноса.
Сами разработчики не скрывают гордости за проделанную работу. На сайте есть их цитата: «Троян, набор инструментов для сборки, веб-загрузчик и HTML-дроппер — каждый построен вокруг того, чему Windows уже доверяет. Нативные пути выполнения, системные ресурсы, чистый вывод. Антивирус не видит ничего необычного. Пользователь тоже».
Защита от анализа реализована через механизм единственного экземпляра: малварь создаёт файл блокировки во временной директории операционной системы и завершает работу, если обнаруживает уже запущенный процесс. Определение операционной системы влияет на выбор стратегии обхода песочниц и виртуальных машин, способ закрепления и метод доставки основной нагрузки. Есть и опциональная функция биндера — она позволяет запускать дополнительную встроенную полезную нагрузку или программу-приманку одновременно с основным процессом трояна.
Закрепление в системе реализовано отдельно под каждую платформу. В Windows используются ключи автозапуска в реестре, запланированные задачи и папка автозагрузки. В Linux — записи автозапуска.desktop и задания crontab при перезагрузке. На macOS — файлы LaunchAgent plist.
Связь с управляющим сервером устроена гибко. Есть опциональный механизм обновления адреса C2 через Pastebin — конфигурация позволяет менять инфраструктуру управления на лету, без пересборки и повторной доставки вредоносного файла. Основной протокол связи — TCP, но предусмотрены и альтернативы: WebSocket, TLS, HTTPS. Отдельный компонент-наблюдатель следит за тем, чтобы канал связи оставался активным, и переподключается при потере контакта с сервером. Внутренний флаг состояния отключения контролирует, продолжает ли троян сетевую активность, попытки переподключения и операции восстановления — как только режим отключения активирован, все эти процессы останавливаются.
Полный набор возможностей QuimaRAT включает удалённое выполнение команд, доставку дополнительных полезных нагрузок и плагинов, кражу учётных данных, механизмы закрепления, передачу файлов, манипуляции с буфером обмена, слежку через веб-камеру и бесфайловое выполнение шелл-кода — последнее реализовано только для Windows. Аналитики LevelBlue также обнаружили признаки обфускации класса ProGuard, релокацию через Maven Shade, сохранённые символы времени выполнения и синтетические расшифровщики строк.
Итоговая оценка исследователей звучит так: «QuimaRAT следует рассматривать как модульную платформу для Java-трояна, а не как единичный статичный имплант... разработанную для смены статичных отпечатков без изменения базового поведения». По сути, это означает, что перед защитниками не конкретный вирус с определённой сигнатурой, а живая платформа, которая постоянно меняет обличье, оставаясь функционально прежней — и именно эта способность к мутации делает QuimaRAT угрозой на годы вперёд, а не на один сезон.