Talizman RAT

Talisman to potężny RAT (trojan zdalnego dostępu), który był postrzegany jako część groźnego arsenału grup cyberszpiegowskich wspieranych przez Chiny. Zagrożenie zostało stworzone przy użyciu kodu źródłowego niesławnego złośliwego oprogramowania PlugX i jest dopasowane do konkretnych potrzeb cyberprzestępców. Działa zgodnie z podobnym przepływem wykonywania, który obejmuje nadużywanie podpisanego i nieszkodliwego pliku binarnego, który jest zmuszony do załadowania złośliwie zmodyfikowanej biblioteki DLL w celu wykonania jako kod powłoki. Z kolei szelkod przystąpi do odszyfrowania złośliwego oprogramowania. Po ustanowieniu na złamanych urządzeniach, Talisman zapewni do niego dostęp tylnymi drzwiami.

Talisman zachowuje również możliwości wtyczek oczekiwane od wariantu PlugX. Niektóre wtyczki, które cyberprzestępcy uważają za niezbędne, są domyślnie wbudowane w zagrożenie. Niektóre ze zidentyfikowanych wtyczek zostały ujawnione w raporcie amerykańskiej agencji CISA i obejmują Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL i Telnet. Funkcje każdej wtyczki odpowiadają jej nazwie.

Do tej pory Talisman był obserwowany w ramach kilku kampanii ataków. Badacze wyśledzili groźną operację wymierzoną w południowoazjatyckie podmioty działające w sektorach telekomunikacyjnym i obronnym. Atak został przypisany grupie cyberprzestępczej znanej jako Nomad Panda lub RedFoxtrot. Niedawno badacze bezpieczeństwa złapali kolejny powiązany z Chinami kolektyw hakerów, który ponownie atakował cele z sektora telekomunikacyjnego, tym razem zlokalizowanego w Azji Środkowej. Ta konkretna kampania została przypisana aktorowi-zagrożeniu oznaczonemu jako „Moshen Dragon”. Należy zauważyć, że ustalono pewne nakładanie się TTP (taktyki, technik i procedur) Moshen Dragon i RedFoxtrot.