Talismã RAT

O Talisman é um potente RAT (Trojan de Acesso Remoto) que tem sido visto como parte do arsenal ameaçador do que se acredita serem grupos de ciberespionagem apoiados pela China. A ameaça foi criada usando o código-fonte do infame malware PlugX e é moldada para atender às necessidades específicas dos agentes da ameaça. Ele opera seguindo um fluxo de execução semelhante que envolve o abuso de um binário assinado e inofensivo, que é forçado a carregar uma DLL modificada para executar como shellcode. Por sua vez, o shellcode prosseguirá para descriptografar o malware. Uma vez estabelecido nos dispositivos violados, o Talisman fornecerá acesso backdoor a ele.

O Talisman também mantém os recursos de plug-in esperados de uma variante do PlugX. Alguns dos plug-ins considerados essenciais pelos cibercriminosos são incorporados à ameaça por padrão. Alguns dos plug-ins identificados foram revelados em um relatório da agência CISA dos EUA e incluem Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL e Telnet. As funções de cada plug-in correspondem ao seu nome.

Até agora, o Talisman foi observado como parte de várias campanhas de ataque. Os pesquisadores rastrearam uma operação ameaçadora contra entidades do sul da Ásia que operam nos setores de telecomunicações e defesa. O ataque foi atribuído a um grupo de crimes cibernéticos conhecido como Nomad Panda ou RedFoxtrot. Mais recentemente, pesquisadores de segurança pegaram outro coletivo de hackers alinhado à China novamente voltado para alvos do setor de telecomunicações, mas desta vez localizado na Ásia Central. Esta campanha em particular foi atribuída a um agente de ameaça rastreado como 'Moshen Dragon'. Deve-se ressaltar que alguma sobreposição foi estabelecida entre os TTPs (Táticas, técnicas e procedimentos) de Moshen Dragon e RedFoxtrot.

Tendendo

Mais visto

Carregando...