Talisman RAT

Talisman on võimas RAT (kaugjuurdepääsu troojalane), mida on peetud osaks arvatavasti Hiina toetatud küberspionaažirühmituste ähvardavast arsenalist. Oht loodi kurikuulsa PlugX-i pahavara lähtekoodi abil ja see on vormitud ohus osalejate konkreetsete vajaduste järgi. See toimib, järgides sarnast täitmisvoogu, mis hõlmab allkirjastatud ja kahjutu binaarfaili kuritarvitamist, mis on sunnitud laadima kurjalt muudetud DLL-i, et seda shellkoodina käivitada. Shellkood omakorda jätkab pahavara dekrüpteerimist. Kui Talisman on rikutud seadmetel tuvastatud, pakub see sellele juurdepääsu tagauksest.

Talisman säilitab ka PlugX-i variandilt oodatud pistikprogrammi võimalused. Mõned pistikprogrammid, mida küberkurjategijad peavad oluliseks, on vaikimisi ohu sisse lülitatud. Mõned tuvastatud pistikprogrammid avalikustati USA CISA agentuuri aruandes ja nende hulka kuuluvad Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL ja Telnet. Iga pistikprogrammi funktsioonid vastavad selle nimele.

Seni on Talismani vaadeldud mitme ründekampaania osana. Teadlased jälgisid ähvardavat operatsiooni, mis oli suunatud telekommunikatsiooni- ja kaitsesektoris tegutsevatele Lõuna-Aasia üksustele. Rünnak on omistatud küberkuritegude grupeeringule, mida tuntakse Nomad Panda või RedFoxtroti nime all. Hiljuti tabasid turvateadlased veel ühe Hiinaga seotud häkkerite kollektiivi, mis oli taas suunatud telekommunikatsioonisektori sihtmärkidele, kuid seekord asus see Kesk-Aasias. See konkreetne kampaania on omistatud ohunäitlejale, keda jälgitakse kui "Moshen Dragon". Tuleb märkida, et Moshen Dragoni ja RedFoxtroti TTP-de (taktikad, tehnikad ja protseduurid) vahel on teatud kattumine.