Talisman RAT

Talisman er en potent RAT (Remote Access Trojan) som har blitt sett på som en del av det truende arsenalet til det som antas å være kinesisk-støttede cyberspionagegrupper. Trusselen ble opprettet ved å bruke kildekoden til den beryktede PlugX malware og er formet for å passe de spesielle behovene til trusselaktørene. Den opererer ved å følge en lignende utførelsesflyt som involverer misbruk av en signert og ufarlig binær, som er tvunget til å laste en ondskapsfullt modifisert DLL for å kjøre som skallkode. I sin tur vil shellcode fortsette å dekryptere skadelig programvare. Når den er etablert på de brutte enhetene, vil Talisman gi bakdørstilgang til den.

Talisman beholder også plug-in-funksjonene som forventes fra en PlugX-variant. Noen av plugin-modulene som anses som essensielle av nettkriminelle er som standard innebygd i trusselen. Noen av de identifiserte plugin-modulene ble avslørt i en rapport fra det amerikanske CISA-byrået og inkluderer Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL og Telnet. Funksjonene til hver plug-in samsvarer med navnet.

Så langt har Talisman blitt observert som del av flere angrepskampanjer. Forskere sporet en truende operasjon rettet mot sørasiatiske enheter som opererer i telekom- og forsvarssektoren. Angrepet har blitt tilskrevet en nettkriminalitetsgruppe kjent som Nomad Panda eller RedFoxtrot. Nylig fanget sikkerhetsforskere et annet kinesisk-justert hackerkollektiv igjen rettet mot mål fra telekommunikasjonssektoren, men denne gangen lokalisert i Sentral-Asia. Denne spesielle kampanjen har blitt tilskrevet en trusselaktør sporet som "Moshen Dragon". Det skal påpekes at det er etablert noe overlapp mellom TTP-ene (Taktikk, teknikker og prosedyrer) til Moshen Dragon og RedFoxtrot.