Talisman RAT

Talisman je moćni RAT (trojanac za daljinski pristup) koji se smatra dijelom prijetećeg arsenala za koje se vjeruje da su kibernetičke špijunažne skupine koje podržavaju Kinezi. Prijetnja je stvorena korištenjem izvornog koda zloglasnog PlugX zlonamjernog softvera i oblikovana je tako da odgovara posebnim potrebama aktera prijetnje. Djeluje slijedeći sličan tijek izvršavanja koji uključuje zlouporabu potpisane i bezopasne binarne datoteke, koja je prisiljena učitati zlobno modificirani DLL da bi se izvršila kao shellcode. Zauzvrat, shellcode će nastaviti s dešifriranjem zlonamjernog softvera. Nakon što se uspostavi na provaljenim uređajima, Talisman će im omogućiti backdoor pristup.

Talisman također zadržava mogućnosti plug-ina koje se očekuju od PlugX varijante. Neki od dodataka koje kibernetički kriminalci smatraju bitnim ugrađeni su u prijetnju prema zadanim postavkama. Neki od identificiranih dodataka otkriveni su u izvješću američke CISA agencije i uključuju Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL i Telnet. Funkcije svakog dodatka odgovaraju njegovom nazivu.

Do sada je Talisman promatran kao dio nekoliko napadačkih kampanja. Istraživači su pratili prijeteću operaciju usmjerenu na subjekte u Južnoj Aziji koji djeluju u telekomunikacijskom i obrambenom sektoru. Napad je pripisan skupini kibernetičkog kriminala poznatoj kao Nomad Panda ili RedFoxtrot. Nedavno su sigurnosni istraživači uhvatili još jedan hakerski kolektiv s kineskom postavom koji je ponovno ciljao na mete iz telekomunikacijskog sektora, ali ovaj put u središnjoj Aziji. Ova posebna kampanja pripisana je glumcu prijetnje koji se prati kao 'Moshen Dragon'. Treba istaknuti da je utvrđeno određeno preklapanje između TTP-ova (Taktike, tehnike i procedure) Moshen Dragona i RedFoxtrota.