Talisman RAT

Talisman is een krachtige RAT (Remote Access Trojan) die wordt gezien als onderdeel van het bedreigende arsenaal van wat wordt verondersteld door China gesteunde cyberspionagegroepen te zijn. De dreiging is gecreëerd met behulp van de broncode van de beruchte PlugX- malware en is gevormd om te voldoen aan de specifieke behoeften van de bedreigingsactoren. Het werkt door een vergelijkbare uitvoeringsstroom te volgen waarbij misbruik wordt gemaakt van een ondertekend en onschadelijk binair bestand, dat wordt gedwongen een kwaadaardig gemodificeerde DLL te laden om als shellcode uit te voeren. Op zijn beurt zal de shellcode doorgaan met het decoderen van de malware. Eenmaal gevestigd op de geschonden apparaten, zal Talisman toegang via de achterdeur bieden.

Talisman behoudt ook de plug-in-mogelijkheden die verwacht worden van een PlugX-variant. Sommige van de plug-ins die door de cybercriminelen als essentieel worden beschouwd, zijn standaard ingebed in de dreiging. Sommige van de geïdentificeerde plug-ins werden onthuld in een rapport van het Amerikaanse CISA-bureau en omvatten Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL en Telnet. De functies van elke plug-in komen overeen met de naam.

Tot nu toe is Talisman waargenomen als onderdeel van verschillende aanvalscampagnes. Onderzoekers volgden een dreigende operatie gericht op Zuid-Aziatische entiteiten die actief zijn in de telecom- en defensiesector. De aanval is toegeschreven aan een cybercriminaliteitsgroep die bekend staat als Nomad Panda of RedFoxtrot. Meer recentelijk vingen beveiligingsonderzoekers een ander Chinees-gelieerd hackercollectief, opnieuw gericht op doelen uit de telecommunicatiesector, maar deze keer in Centraal-Azië. Deze specifieke campagne is toegeschreven aan een bedreigingsacteur die wordt gevolgd als 'Moshen Dragon'. Opgemerkt moet worden dat er enige overlap is tussen de TTP's (Tactiek, technieken en procedures) van Moshen Dragon en RedFoxtrot.