Talisman RAT

A Talisman egy erős RAT (Remote Access Trojan), amelyet a kínaiak által támogatott kiberkémcsoportok fenyegető fegyvertárának részének tekintettek. A fenyegetést a hírhedt PlugX rosszindulatú program forráskódjának felhasználásával hozták létre, és a fenyegetés szereplőinek speciális igényeihez igazították. Egy hasonló végrehajtási folyamatot követve működik, amely magában foglalja az aláírt és ártalmatlan binárissal való visszaélést, amely kénytelen betölteni egy gonoszul módosított DLL-t, hogy shellkódként fusson végre. A shellkód viszont folytatja a rosszindulatú program visszafejtését. A feltört eszközökön való létrehozást követően a Talisman hátsó ajtón keresztül hozzáférhet hozzá.

A Talisman emellett megtartja a PlugX változattól elvárt beépülő képességeket. A kiberbűnözők által elengedhetetlennek ítélt beépülő modulok egy része alapértelmezés szerint be van ágyazva a fenyegetésbe. Az azonosított beépülő modulok egy része az amerikai CISA ügynökség jelentésében derült ki, köztük a Disk, a Nethood, a Netstat, az Option, a PortMap, a RegEdit, a Service, a Shell, az SQL és a Telnet. Az egyes beépülő modulok funkciói megegyeznek a nevükkel.

Eddig a Talismant több támadási kampány részeként figyelték meg. A kutatók egy fenyegető műveletet követtek nyomon, amely a távközlési és védelmi szektorban működő dél-ázsiai szervezeteket célozta meg. A támadást a Nomad Panda vagy RedFoxtrot néven ismert számítógépes bûnözõ csoportnak tulajdonítják. A közelmúltban a biztonsági kutatók egy másik kínai kötődésű hackerkollektívát is elkaptak, amely ismét a távközlési szektor célpontjait célozta meg, ezúttal azonban Közép-Ázsiában. Ezt a kampányt a „Moshen Dragon” nevű fenyegetés szereplőjének tulajdonították. Ki kell emelni, hogy a Moshen Dragon és a RedFoxtrot TTP-jei (taktikák, technikák és eljárások) között némi átfedés tapasztalható.