Talisman RAT

Talisman er en potent RAT (Remote Access Trojan), der er blevet set som en del af det truende arsenal af, hvad der menes at være kinesisk-støttede cyberspionagegrupper. Truslen blev skabt ved at bruge kildekoden til den berygtede PlugX malware og er formet til at passe til trusselsaktørernes særlige behov. Det fungerer ved at følge et lignende eksekveringsflow, der involverer misbrug af en signeret og harmløs binær, som er tvunget til at indlæse en ondskabsfuldt modificeret DLL for at udføre som shellcode. Til gengæld vil shell-koden fortsætte med at dekryptere malwaren. Når først er etableret på de brudte enheder, vil Talisman give bagdørsadgang til den.

Talisman bevarer også de plug-in-muligheder, der forventes af en PlugX-variant. Nogle af de plug-ins, som anses for essentielle af cyberkriminelle, er som standard indlejret i truslen. Nogle af de identificerede plug-ins blev afsløret i en rapport fra det amerikanske CISA-agentur og inkluderer Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL og Telnet. Funktionerne for hvert plug-in matcher dets navn.

Indtil videre er Talisman blevet observeret som en del af flere angrebskampagner. Forskere sporede en truende operation rettet mod sydasiatiske enheder, der opererer i telekommunikations- og forsvarssektoren. Angrebet er blevet tilskrevet en cyberkriminel gruppe kendt som Nomad Panda eller RedFoxtrot. For nylig fangede sikkerhedsforskere et andet kinesisk-tilpasset hackerkollektiv igen rettet mod mål fra telekommunikationssektoren, men denne gang placeret i Centralasien. Denne særlige kampagne er blevet tilskrevet en trusselsaktør sporet som 'Moshen Dragon'. Det skal påpeges, at der er etableret et vist overlap mellem Moshen Dragons og RedFoxtrots TTP'er (taktik, teknikker og procedurer).