Talisman RAT

Talisman je silný RAT (Remote Access Trojan), který byl považován za součást hrozivého arzenálu kyberšpionážních skupin, o kterých se věří, že jsou podporované Čínou. Hrozba byla vytvořena pomocí zdrojového kódu nechvalně známého malwaru PlugX a je přizpůsobena konkrétním potřebám aktérů hrozeb. Funguje podle podobného spouštěcího toku, který zahrnuje zneužití podepsaného a neškodného binárního souboru, který je nucen načíst zlomyslně upravenou knihovnu DLL, která se spustí jako shell kód. Na druhé straně bude shell kód pokračovat v dešifrování malwaru. Jakmile se Talisman uchytí na narušených zařízeních, poskytne k němu zadní vrátka.

Talisman si také zachovává možnosti zásuvných modulů očekávané od varianty PlugX. Některé zásuvné moduly, které kyberzločinci považují za nezbytné, jsou ve výchozím nastavení součástí hrozby. Některé z identifikovaných zásuvných modulů byly odhaleny ve zprávě americké agentury CISA a zahrnují Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL a Telnet. Funkce každého plug-inu odpovídají jeho názvu.

Doposud byl Talisman pozorován jako součást několika útočných kampaní. Výzkumníci sledovali hrozivou operaci zaměřenou na jihoasijské subjekty působící v telekomunikačních a obranných sektorech. Útok byl připisován kyberzločinecké skupině známé jako Nomad Panda nebo RedFoxtrot. Nedávno bezpečnostní výzkumníci chytili další skupinu hackerů naladěných na Čínu, která se opět zaměřila na cíle z telekomunikačního sektoru, ale tentokrát ve Střední Asii. Tato konkrétní kampaň byla připsána aktérovi hrozby sledovanému jako 'Moshen Dragon'. Je třeba zdůraznit, že došlo k určitému překrývání mezi TTP (taktika, techniky a postupy) Moshen Dragon a RedFoxtrot.