Siber güvenlik araştırmacıları, QuimaRAT adı verilen ve Windows, Linux ile macOS ortamlarını hedefleyebilen yeni bir Java tabanlı uzaktan erişim truva atı (RAT) tespit etti. LevelBlue tarafından yapılan analize göre, çapraz platform özellikli bu kötü amaçlı yazılım, hizmet olarak kötü amaçlı yazılım (MaaS) modeliyle pazarlanıyor. Fiyatlandırma, bir aylık kullanım için 150 dolardan ömür boyu erişim için 1.200 dolara kadar değişiyor. Diğer abonelik seçenekleri ise üç ay için 300 dolar, altı ay için 500 dolar ve on iki ay için 700 dolar şeklinde sıralanıyor.
Modüler bir mimari etrafında inşa edilen RAT, şifrelenmiş eklentiler aracılığıyla dinamik yetenek genişletmeyi destekliyor. Bu eklentiler, komuta ve kontrol (C2) altyapısından doğrudan teslim edilebiliyor, yüklenebiliyor, kaldırılabiliyor ve güncellenebiliyor. Kötü amaçlı yazılımın yaratıcısı ayrıca JAR, EXE, APP, SH, BAT ve VBS gibi birden çok çıktı formatı üretebilen bir derleyici de sunuyor. Bu, potansiyel müşterilerin istemciyi farklı ortamlar ve teslimat senaryoları için paketlemesine yardımcı olmayı amaçlıyor.
Satıcının iddiasına göre QuimaRAT, Windows ve Linux üzerinde tamamen gizli çalışıyor; görünür hiçbir kullanıcı arayüzü öğesi veya masaüstü girişi bulunmuyor. macOS'ta ise ekran yakalama ve giriş kontrolü gibi bazı özelliklerin 'kullanıcı tarafından verilen yönetici izinleri' gerektirdiği belirtiliyor. Tehdit aktörü toplamda dört araç sunuyor: Quima Control (QuimaRAT), Quima Builder, Quima Loader ve Quima Dropper. Özellikle Quima Loader, kurbanın tarayıcısında açtığı bir bağlantı aracılığıyla yükün önce tarayıcı önbelleğine alınmasını, ardından küçük bir yükleyici dosyası indirilmesini ve son olarak ana yükün çalıştırılmasını sağlıyor. Bu yöntem, Windows SmartScreen korumalarını atlamak için tasarlanmış.
Sonuç ve Değerlendirme
LevelBlue'nun analizi, QuimaRAT'ın Apache Maven kullanılarak oluşturulmuş modüler bir Java projesi olduğunu ve Windows, Linux ile macOS için çeşitli mimarilere yönelik gömülü Java Native Access (JNA) yerel kütüphaneleri içerdiğini ortaya koydu. Kötü amaçlı yazılım, çalıştırılmadan önce enfekte makinede aynı anda yalnızca bir örneğinin çalışmasını sağlamak için geçici dizinde bir kilit dosyası oluşturuyor. Ayrıca kalıcılık sağlamak için işletim sistemine özgü yöntemler kullanıyor: Windows için Kayıt Defteri çalıştırma anahtarları, Zamanlanmış Görevler ve Başlangıç klasörü; Linux için .desktop otomatik başlatma girişleri ve crontab yeniden başlatma görevleri; macOS için LaunchAgent plist dosyası. QuimaRAT, TCP üzerinden (alternatif olarak WebSocket, TLS ve HTTPS ile) C2 sunucusuyla iletişim kurarak komutları alıp çalıştırıyor. Yerleşik bir izleyici bileşen, kanalın aktif kalmasını ve bağlantı koparsa yeniden bağlanmayı sağlıyor.