Talisman RAT

Talisman on voimakas RAT (Remote Access Trojan), joka on nähty osana Kiinan tukemien kybervakoiluryhmien uhkaavaa arsenaalia. Uhka luotiin käyttämällä pahamaineisen PlugX- haittaohjelman lähdekoodia ja se on muotoiltu sopimaan uhkatoimijoiden erityistarpeisiin. Se toimii noudattamalla samanlaista suorituskulkua, johon liittyy allekirjoitetun ja vaarattoman binaarin väärinkäyttö, joka on pakotettu lataamaan ilkeästi muokattu DLL suorittaakseen sen shellkoodina. Shellcode puolestaan jatkaa haittaohjelman salauksen purkamista. Kun Talisman on määritetty rikkoutuneille laitteille, se tarjoaa takaoven pääsyn siihen.

Talisman säilyttää myös PlugX-versiolta odotetut plug-in-ominaisuudet. Jotkut kyberrikollisten välttämättöminä pitämistä laajennuksista on oletuksena upotettu uhkaan. Jotkut tunnistetuista laajennuksista paljastettiin Yhdysvaltain CISA-viraston raportissa, ja niihin kuuluvat Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL ja Telnet. Kunkin laajennuksen toiminnot vastaavat sen nimeä.

Toistaiseksi Talismania on havaittu osana useita hyökkäyskampanjoita. Tutkijat seurasivat uhkaavaa operaatiota, joka kohdistui tietoliikenne- ja puolustussektorilla toimiviin Etelä-Aasian yksiköihin. Hyökkäyksen on katsottu syyllistyneen verkkorikollisryhmittymään, joka tunnetaan nimellä Nomad Panda tai RedFoxtrot. Äskettäin tietoturvatutkijat saivat kiinni toisen kiinalaiseen hakkerikollektiiviin, joka oli jälleen suunnattu telekommunikaatiosektorin kohteisiin, mutta tällä kertaa Keski-Aasiassa. Tämä kampanja on katsottu Moshen Dragon -nimellä jäljitetyn uhkatekijän ansioksi. On syytä huomauttaa, että Moshen Dragonin ja RedFoxtrotin TTP:iden (taktiikat, tekniikat ja menettelyt) välillä on havaittu päällekkäisyyttä.