קמע RAT

קמע הוא RAT חזק (Trojan Access Remote Trojan) אשר נתפס כחלק מהארסנל המאיים של מה שמאמינים שהם קבוצות ריגול סייבר הנתמכות על ידי סיני. האיום נוצר על ידי שימוש בקוד המקור של התוכנה הזדונית PlugX הידועה לשמצה והוא מעוצב כך שיתאים לצרכים המיוחדים של גורמי האיום. הוא פועל על ידי מעקב אחר זרימת ביצוע דומה הכוללת ניצול לרעה של קובץ בינארי חתום ולא מזיק, שנאלץ לטעון DLL ששונה באכזריות לביצוע כקוד shell. בתורו, קוד המעטפת ימשיך לפענח את התוכנה הזדונית. לאחר שהוקמו על המכשירים הפורצים, Talisman תספק לו גישה בדלת אחורית.

Talisman גם שומר על יכולות הפלאגין הצפויות מגרסה של PlugX. חלק מהפלאגינים שנחשבים חיוניים על ידי פושעי הסייבר מוטמעים באיום כברירת מחדל. חלק מהתוספים שזוהו נחשפו בדו"ח של סוכנות CISA האמריקאית וכוללים את Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL ו-Telnet. הפונקציות של כל תוסף תואמות את שמו.

עד כה נצפה טליסמן כחלק מכמה מסעות תקיפה. חוקרים עקבו אחר מבצע מאיים המכוון לגורמים בדרום אסיה הפועלים במגזרי הטלקום והביטחון. המתקפה יוחסה לקבוצת פשעי סייבר הידועה בשם Nomad Panda או RedFoxtrot. לאחרונה, חוקרי אבטחה תפסו שוב קולקטיב האקרים נוסף המיושר לסין שכוון למטרות ממגזר התקשורת, אך הפעם ממוקם במרכז אסיה. הקמפיין הספציפי הזה יוחס לשחקן איום שאחריו הוא 'משן דרקון'. יש לציין כי נוצרה חפיפה מסוימת בין ה-TTPs (טקטיקות, טכניקות ונהלים) של Moshen Dragon ו-RedFoxtrot.

מגמות

הכי נצפה

טוען...