طلسم RAT

Talisman یک RAT (تروجان دسترسی از راه دور) قدرتمند است که به عنوان بخشی از زرادخانه تهدیدکننده گروه‌های جاسوسی سایبری مورد حمایت چین دیده می‌شود. این تهدید با استفاده از کد منبع بدافزار بدنام PlugX ایجاد شده و متناسب با نیازهای خاص بازیگران تهدید ساخته شده است. این با دنبال کردن یک جریان اجرایی مشابه عمل می کند که شامل سوء استفاده از یک باینری امضا شده و بی ضرر است، که مجبور می شود یک DLL با تغییر بدی را بارگذاری کند تا به عنوان کد پوسته اجرا شود. به نوبه خود، shellcode به رمزگشایی بدافزار اقدام می کند. پس از استقرار بر روی دستگاه های شکسته شده، Talisman دسترسی درب پشتی به آن را فراهم می کند.

Talisman همچنین قابلیت های پلاگین مورد انتظار از یک نوع PlugX را حفظ می کند. برخی از افزونه هایی که توسط مجرمان سایبری ضروری تلقی می شوند به طور پیش فرض در تهدید جاسازی شده اند. برخی از پلاگین های شناسایی شده در گزارشی توسط آژانس CISA ایالات متحده فاش شده اند و شامل Disk، Nethood، Netstat، Option، PortMap، RegEdit، Service، Shell، SQL و Telnet هستند. عملکرد هر افزونه با نام آن مطابقت دارد.

تا کنون، طلسم به عنوان بخشی از چندین کمپین حمله مشاهده شده است. محققان یک عملیات تهدید آمیز را که نهادهای جنوب آسیا را در بخش های مخابراتی و دفاعی فعالیت می کنند، ردیابی کردند. این حمله به یک گروه جنایت سایبری موسوم به Nomad Panda یا RedFoxtrot نسبت داده شده است. اخیراً، محققان امنیتی گروه دیگری از هکرهای همسو با چین را دستگیر کردند که دوباره اهدافی از بخش مخابرات را هدف قرار داده بود، اما این بار در آسیای مرکزی قرار داشت. این کمپین خاص به یک بازیگر تهدید با نام "اژدهای موشن" نسبت داده شده است. لازم به ذکر است که همپوشانی هایی بین TTP ها (تاکتیک ها، تکنیک ها و رویه ها) Moshen Dragon و RedFoxtrot ایجاد شده است.

پرطرفدار

پربیننده ترین

بارگذاری...