Siber güvenlik araştırmacıları, QuimaRAT adı verilen ve Windows, Linux ve macOS ortamlarını hedef alabilen yeni bir Java tabanlı uzaktan erişim truva atını (RAT) işaretledi.
LevelBlue'ya göre, platformlar arası kötü amaçlı yazılım, hizmet olarak kötü amaçlı yazılım (MaaS) modeli altında tanıtılıyor ve maliyeti bir ay için 150 ABD Doları ile ömür boyu erişim için 1.200 ABD Doları arasında değişiyor. Diğer abonelik katmanları üç ay için 300 ABD Doları, altı ay için 500 ABD Doları ve on iki ay için 700 ABD Dolarıdır.
Siber güvenlik şirketi, kötü amaçlı yazılıma ilişkin bir analizde, "Modüler bir mimari etrafında inşa edilen RAT, doğrudan komuta ve kontrol (C2) altyapısından teslim edilebilen, yüklenebilen, boşaltılabilen ve güncellenebilen şifrelenmiş eklentiler aracılığıyla dinamik yetenek genişletmeyi destekliyor" dedi.
Kötü amaçlı yazılım yazarı ayrıca JAR, EXE, APP, SH, BAT ve VBS dahil olmak üzere birden fazla çıktı formatı oluşturabilen bir oluşturucunun reklamını yapıyor ve bu da potansiyel müşterilerin istemciyi farklı ortamlar ve dağıtım senaryolarına göre uyarlanmış olarak paketlemesine yardımcı olma girişimini gösteriyor.
Teknik Analiz
Satıcının gönderisi, görünür bir kullanıcı arayüzü öğesi veya masaüstü girişi bulunmadığını belirterek, Windows ve Linux'ta tam gizliliği garanti ediyor. Ancak macOS'ta tehdit aktörü, ekran yakalama ve giriş kontrolü gibi belirli özelliklerin "kullanıcı tarafından verilen yönetici izinleri" gerektirdiğine dair bir uyarıda bulunuyor.
Sonuç ve Değerlendirme
Web sitelerini ziyaret eden kullanıcılar, platformun "yalnızca profesyonel güvenlik araştırmaları, yetkili sızma testleri ve kontrollü eğitim ortamları için tasarlanmış saldırgan güvenlik araçları sağladığını" belirten ve onları "kötü amaçlı, yetkisiz veya yasa dışı amaçlarla" kullanmamaları konusunda uyaran bir açılır mesajla karşılanıyor.
Tehdit aktörü toplamda dört araç sunuyor:
Detaylar ve Etkileri
Quima Control (diğer adıyla QuimaRAT), 74 Windows ve 46 macOS ve Linux modülüne sahip bir uzaktan yönetim aracı
(aka QuimaRAT), 74 Windows ve 46 macOS ve Linux modülü içeren bir uzaktan yönetim aracı Quima Builder, XLL, LNK, VBS, JS, BAT, DOCM, XLSM, MSC, CPL ve CHM dosya formatlarını destekleyen modüler bir oluşturucu ve başlatıcı araç seti
Uzmanların Görüşleri
, XLL, LNK, VBS, JS, BAT, DOCM, XLSM, MSC, CPL ve CHM dosya formatlarını destekleyen modüler bir oluşturucu ve başlatıcı araç seti olan Quima Loader, kötü amaçlı yazılım yükünü hazırlamak ve sunmak için bir tarayıcı önbellek yükü dağıtım hizmeti
Sistem Güvenliği
, kötü amaçlı yazılım yükünü hazırlamak ve dağıtmak için bir tarayıcı önbellek yükü dağıtım hizmeti olan Quima Dropper, bir HTML/SVG veri yükü oluşturucusu
Özellikle Quima Loader, operatörün özel bir panel aracılığıyla bir EXE dosyasını yüklemesine ve bir teslimat formatı (örn. HTA veya LNK) ve bir açılış sayfası şablonu (örn. sahte CAPTCHA kontrolü veya yazılım güncelleme uyarıları) seçmesine olanak tanıdığı için dikkat çekicidir. Bunun ardından araç, kurban tarafından tarayıcıda açıldığında kötü amaçlı yazılım geliştiricisine göre aşağıdaki eylem dizisini başlatan bir aşamalandırıcı bağlantı oluşturur:
Açılış sayfası yüklenir ve yük alınır ve tarayıcı önbelleğinde tutulur.
Gelecekte Ne Bekleniyor?
Sayfada bir indirme düğmesi görünür.
Buna tıklamak, tarayıcının güvendiği "küçük, temiz bir yükleyici dosyasını" kaydeder.
Target, önbelleğe alınan veriyi okuyan yükleyiciyi çalıştırır.
Nasıl Önlem Alınmalı?
Ana veri, Windows'taki SmartScreen korumalarını atlayarak sistemde yürütülür.
Önemli Gelişmeler
Quima paketinin arkasındaki yazar, web sitesinde "Bir RAT, bir oluşturucu paketi, bir web yükleyici ve bir HTML bırakıcısı; her biri Windows'un zaten güvendiği şeyler etrafında oluşturulmuş" diyor. "Yerel yürütme yolları, sisteme ait kaynaklar, temiz çıktılar. AV [antivirüs] olağandışı hiçbir şey görmüyor. Kullanıcı da görmüyor."
LevelBlue'nun analizi, QuimaRAT'ın Apache Maven kullanılarak oluşturulmuş modüler bir Java projesi olarak organize edildiğini ve çeşitli mimarilerde Windows, Linux ve macOS için yerleşik Java Yerel Erişim (JNA) yerel kitaplıkları içerdiğini gösteriyor. Ayrıca ortam doğrulaması, kalıcılık kurulumu ve C2 başlatma için gerekli olan dahili bir yapılandırma dosyasının kodunu çözer ve ayrıştırır.
Araştırmacılar Chen Aviani ve Nikita Kazymirskyi, "Bu yerel bileşenler, RAT'ın C/C++ kodu aracılığıyla düşük seviyeli işletim sistemi API'leriyle doğrudan etkileşime girmesine olanak tanıyor, bu da geniş çoklu platform dağıtımına yönelik kasıtlı desteği gösteriyor" dedi.
Yürütmeden önce kötü amaçlı yazılım, herhangi bir zamanda virüslü makinede truva atının yalnızca bir örneğinin çalışmasını sağlar. Bunu, işletim sisteminin geçici dizininde bir kilit dosyası oluşturarak ve diğer işlemlerin bunu aynı anda kullanmasını engelleyerek başarır. Başka bir RAT örneğinin zaten dosyaya yönelik kilidi tuttuğunu tespit ederse yürütmeyi sonlandırır.
QuimaRAT şunları belirlemek için tasarlanmıştır: Korumalı alan ve sanal ortamlardan kaçınmak, kalıcılık oluşturmak ve ana yükü sunmak da dahil olmak üzere bir sonraki eylem planını belirlemek için mevcut işletim sistemi adını kullanın. Ayrıca, Binder adlı işlevsellik yapılandırma yoluyla etkinleştirilirse, ana RAT süreciyle birlikte ek bir yerleşik yük veya yanıltıcı uygulama yürütme yeteneğini destekler.
Kötü amaçlı yazılım, işletim sistemine özgü çeşitli yöntemleri kullanarak kalıcılığı sağlıyor: Windows için Kayıt Defteri Çalıştırma anahtarları, Zamanlanmış görevler ve Başlangıç klasörü, Linux için .desktop otomatik başlatma girişleri ve crontab yeniden başlatma görevleri ve macOS için LaunchAgent plist dosyası.
Dahası, Truva Atı, yapılandırma aracılığıyla kontrol edilen isteğe bağlı Pastebin tabanlı C2 ana bilgisayar güncelleme mekanizmasını içerir. Bu yaklaşım, operatörün, yükü yeniden inşa etmek ve yeniden dağıtmak zorunda kalmadan C2 altyapısını dinamik olarak döndürmesine veya değiştirmesine olanak tanır.
QuimaRAT'ın nihai hedefi, komutları almak ve yürütmek için C2 sunucusuyla TCP üzerinden (veya alternatif olarak WebSocket, TLS ve HTTPS aracılığıyla) iletişim kurmaktır. Kötü amaçlı yazılımın içine yerleştirilmiş bir gözlemci bileşeni, C2 sunucusuyla bağlantının kesilmesi durumunda kanalın aktif kalmasını ve kanala yeniden bağlanmasını sağlar.
Araştırmacılar, "QuimaRAT, RAT'ın ağ oluşturma, yeniden bağlanma, izleme ve kurtarma işlemlerini gerçekleştirmeye devam edip etmeyeceğini kontrol etmek için kullanılan dahili bir kapatma durumu bayrağını sürdürüyor" dedi. "Bu mekanizma QuimaRAT'ın kapatma modu etkinleştirildikten sonra yeniden bağlanmayı, izlemeyi ve iletişim kurtarma işlemlerini durdurmasına olanak tanır."
Kötü amaçlı yazılım, uzaktan komut yürütme, uzaktan veri yükü ve eklenti dağıtımı, kimlik bilgileri hırsızlığı, kalıcılık, dosya aktarımı, pano manipülasyonu ve web kamerası gözetimi dahil olmak üzere çok çeşitli yetenekleri destekleyerek saldırgana virüs bulaşmış bir sistem üzerinde kapsamlı kontrol sağlar.
Çoğu RAT kötü amaçlı yazılımında bulunan bu geleneksel özelliklerin yanı sıra QuimaRAT, Windows ana bilgisayarlarında dosyasız kabuk kodu yürütmeyi ve güvenliği ihlal edilmiş ana bilgisayarlara kalıcı erişim sağlayan esnek bir iletişim çerçevesini kolaylaştırır.
LevelBlue, "QuimaRAT, tek bir statik implant yerine modüler bir Java RAT platformu olarak görülmelidir" dedi. "ProGuard sınıfı gizleme göstergeleri, Maven Shade'in yer değiştirmesi, korunan çalışma zamanı sembolleri ve sentetik dize şifre çözücüleri, QuimaRAT'ın temel davranışını değiştirmeden statik parmak izlerini döndürecek şekilde tasarlandığı değerlendirmesini daha da destekliyor."