QuimaRAT, Windows, Linux ve macOS platformlarında çalışabilen, yeni nesil modüler bir uzaktan yönetim aracı (RAT) olarak ortaya çıktı. Malware-as-a-Service (MaaS) modeliyle pazarlanan bu zararlı yazılım, kullanıcılarına aylarca ya da ömür boyu erişim seçenekleri sunuyor. Ücretler, bir aydan başlamak üzere farklı abonelik sürelerine göre 150 ile 1200 dolar arasında değişiyor.
Çok Platformlu Tasarım ve Modülerlik
QuimaRAT’ın mimarisi, şifreli eklentiler aracılığıyla yeteneklerini dinamik olarak artırmaya izin veriyor. Bu eklentiler, komuta kontrol (C2) altyapısından doğrudan yüklenip güncellenebiliyor. Zararlı yazılımın geliştiricisi, farklı hedef sistemlere uygun çıktılar üretmek üzere JAR, EXE, APP, SH, BAT ve VBS formatlarında dosyalar oluşturan bir ‘builder’ aracı da sunuyor. Bu sayede saldırganlar, hedefin ortamına göre özel paketlemeler yapabiliyor.
Platforma Göre Farklı Gizlilik Yaklaşımları
Windows ve Linux’ta QuimaRAT, kullanıcı arayüzü veya masaüstü girdisi olmadan tamamen gizli çalışıyor. Ancak macOS’ta bazı işlevler, örneğin ekran görüntüsü alma ya da kullanıcının giriş kontrolü için yönetici izinleri gerekiyor. Web sitesinde, platformun yalnızca yetkili siber güvenlik araştırmaları, onaylı penetrasyon testleri ve eğitim amaçları için kullanılabileceği vurgulanırken, kötü niyetli kullanımlar için açık bir uyarı yer alıyor.
QuimaRAT’ın Araç Seti ve Teslim Mekanizması
Tehdit aktörü, dört farklı araç sunuyor: Quima Control (uzaktan yönetim aracı olarak 74 Windows ve 46 macOS/Linux modülü içeriyor), Quima Builder (çeşitli dosya formatlarında modüler paketler hazırlıyor), Quima Loader (tarayıcı önbelleği üzerinden zararlı yük teslimi yapıyor) ve Quima Dropper (HTML/SVG tabanlı yük oluşturuyor). Özellikle Quima Loader, kurbanın tarayıcısında açılan sahte sayfalarla temiz görünen bir yükleyici dosya indirip çalıştırmasını sağlıyor ve bu sırada Windows SmartScreen korumasını aşabiliyor.
Çok Katmanlı İstismar ve Kalıcılık Mekanizmaları
Java tabanlı bu RAT, Apache Maven kullanılarak modüler şekilde geliştirildi. İçinde Windows, Linux ve macOS için Java Native Access (JNA) kütüphaneleri barındırarak, işletim sistemi API’leriyle doğrudan etkileşime geçiyor. Bu sayede çoklu platformlarda geniş kapsamlı çalışabiliyor. Çalıştırılmadan önce tek bir örneğin aktif olması için kilit dosyası kullanıyor, böylece aynı anda birden fazla zararlı çalışmasını engelliyor.
Hedef sistemin işletim sistemi bilgisi doğrultusunda davranışlarını şekillendiriyor, sandbox ve sanal ortamlardan kaçıyor, kalıcılık için Windows’ta Kayıt Defteri anahtarları, Görev Zamanlayıcı ve Başlangıç klasörü, Linux’ta .desktop ve crontab görevleri, macOS’ta LaunchAgent plist dosyası gibi yöntemler kullanıyor. Ayrıca, konfigürasyon üzerinden kontrol edilen Pastebin tabanlı bir C2 güncelleme mekanizmasıyla komuta kontrol altyapısını dinamik olarak değiştirebiliyor.
Geniş Kapsamlı Yetkinlikler ve İletişim Süreçleri
QuimaRAT, uzaktan komut çalıştırmadan dosya transferine, kimlik bilgisi hırsızlığına, pano yönetimine ve webcam gözetimine kadar pek çok işlev barındırıyor. Windows makinelerde dosyasız (fileless) kabuk kodu çalıştırabiliyor ve dayanıklı iletişim kanalları sayesinde erişimini uzun süre devam ettirebiliyor. TCP, WebSocket, TLS veya HTTPS üzerinden C2 sunucusuyla bağlantı kuruyor ve bağlantı kesildiğinde otomatik tekrar bağlanma mekanizması devreye giriyor.
Teknik Özet ve Güvenlik Analistlerine Notlar
Son analizler, QuimaRAT’ın ProGuard obfuscation, Maven Shade relocation gibi tekniklerle statik izlerini değiştirmeye çalıştığını gösteriyor. Bu durum, zararlının davranışlarını değiştirmeden tespit edilmesini zorlaştırıyor. Siber güvenlik ekipleri, QuimaRAT gibi çok platformlu ve modüler tehditlere karşı özellikle EDR ve SIEM sistemlerinde davranışsal analizlere öncelik vermeli, ağ segmentasyonu ile C2 trafiğini dikkatle izlemeli.
Güvenlik Uzmanlarına Pratik Tavsiyeler
Kurumsal ağlarda QuimaRAT gibi RAT’ların tespiti için öncelikle tarayıcı önbelleği ve şüpheli dosya indirme aktiviteleri denetlenmeli. Kayıt Defteri ve Başlangıç klasörlerinde olağandışı değişiklikler takip edilmeli. Pastebin gibi üçüncü taraf servislerin C2 olarak kullanımı göz önüne alınarak bu tür trafiğe yönelik kurallar oluşturulmalı. Ayrıca, kullanıcıların izinsiz yönetici hakları vermemesi için IAM politikaları sıkılaştırılmalı ve çok faktörlü kimlik doğrulama zorunlu hale getirilmeli.
