新型基于Java的QuimaRAT MaaS可跨Windows、Linux与macOS运行
导语:网络安全研究人员披露了一款名为QuimaRAT的新型跨平台Java远程访问木马,该恶意软件以MaaS模式销售,最低月费150美元,可针对Windows、Linux和macOS三大操作系统发起攻击。
网络安全研究人员近日标记了一种新型的基于Java的远程访问木马(RAT)——QuimaRAT,该恶意软件能够针对Windows、Linux和macOS环境发起攻击。
根据LevelBlue的分析报告,这款跨平台恶意软件以恶意软件即服务(MaaS)的模式进行销售,售价从每月150美元到终身使用1200美元不等。其他订阅档位包括三个月300美元、六个月500美元以及十二个月700美元。LevelBlue在对该恶意软件的分析中指出:"该RAT采用模块化架构构建,支持通过加密插件进行动态能力扩展,这些插件可由其命令与控制(C2)基础设施直接下发、加载、卸载和更新。"
恶意软件的作者还宣传了一款Builder(生成器),能够生成多种输出格式,包括JAR、EXE、APP、SH、BAT和VBS,显示出其试图帮助潜在客户针对不同环境和投递场景打包相应的客户端。卖家在其帖文中保证在Windows和Linux上实现完全隐身,并指出没有可见的用户界面元素或桌面图标。但在macOS上,该威胁行为者附带了一条警告:屏幕捕获和输入控制等某些功能需要"用户授予管理员权限"。
当用户访问该网站时,会看到一个弹出消息,声明该平台"提供仅供专业安全研究、授权渗透测试和受控教育环境使用的攻击性安全工具",并警告不要将其用于"恶意、未经授权或非法用途"。特别值得关注的是Quima Loader,它允许操作员通过专用面板上传EXE文件,并选择投递格式(例如HTA或LNK)以及落地页模板(例如伪造的验证码检查或软件更新提醒),之后该工具会生成一个stager链接,当受害者在浏览器中打开时,会按照恶意软件开发者所述启动以下操作序列。Quima套件背后的作者在其网站上声称:"一个RAT、一套Builder、一个Web Loader和一个HTML Dropper——每个都围绕Windows已经信任的东西构建。本地执行路径、系统自有资源、干净的输出,杀毒软件看不到任何异常,用户也看不到任何异常。"
LevelBlue的分析表明,QuimaRAT被组织成一个使用Apache Maven构建的模块化Java项目,同时包含针对各种架构的Windows、Linux和macOS嵌入式Java Native Access(JNA)原生库。它还会解码并解析一个内部配置文件,该文件对环境验证、持久化安装以及C2初始化都是必需的。研究人员Chen Aviani和Nikita Kazymirskyi表示:"这些原生组件允许该RAT通过C/C++代码直接与底层操作系统API进行交互,表明其有意支持广泛的多平台部署。"

在执行之前,该恶意软件会确保在受感染机器上任意时刻只有一个木马实例运行。它通过在操作系统的临时目录中创建一个锁文件来实现这一点,并阻止其他进程同时使用该文件。如果检测到另一个RAT实例已经持有该文件的锁,它会终止执行。QuimaRAT被设计用于确定当前操作系统名称,并以此决定下一步行动,包括规避沙盒和虚拟环境、建立持久化以及投递主载荷。此外,如果名为Binder的功能通过配置启用,它还支持在主RAT进程执行的同时执行额外的嵌入式载荷或诱饵应用程序。
该恶意软件使用多种特定于操作系统的方法设置持久化:对于Windows,使用注册表Run键、计划任务和启动文件夹;对于Linux,使用.desktop自启动项和crontab重启任务;对于macOS,则使用LaunchAgent plist文件。此外,该木马还包含一个可选的基于Pastebin的C2主机更新机制,该机制通过配置进行控制。这种方法使操作员能够动态轮换或替换C2基础设施,而无需重新构建和重新分发载荷。
QuimaRAT的最终目标是通过TCP(或者通过WebSocket、TLS和HTTPS)与C2服务器建立通信,以接收并执行命令。恶意软件内置的看门狗组件确保该通道保持活跃,并在与C2服务器失去联系时重新连接。研究人员表示:"QuimaRAT维护一个内部关闭状态标志,用于控制RAT是否应继续执行网络通信、重连、看门狗和恢复操作。该机制允许QuimaRAT在关闭模式激活后停止重新连接、看门狗和通信恢复操作。"
该恶意软件支持广泛的功能,包括远程命令执行、远程载荷和插件投递、凭据窃取、持久化、文件传输、剪贴板操控以及摄像头监控,使攻击者能够对受感染系统进行全面控制。除了这些大多数RAT恶意软件中常见的传统功能外,QuimaRAT还支持在Windows主机上实现无文件Shellcode执行,并提供具有弹性的通信框架,使攻击者能够持续访问已被入侵的主机。
来源信息
来源:The Hacker News
原文链接:https://thehackernews.com/2026/07/new-java-based-quimarat-maas-built-to.html
作者:info@thehackernews.com (The Hacker News)

