Talisman RAT

Talisman este un puternic RAT (Remote Access Troian) care a fost văzut ca parte din arsenalul amenințător al a ceea ce se crede că sunt grupuri de spionaj cibernetic susținute de chinezi. Amenințarea a fost creată prin utilizarea codului sursă al infamului malware PlugX și este modelată pentru a se potrivi nevoilor specifice ale actorilor amenințărilor. Funcționează urmând un flux de execuție similar, care implică abuzarea unui binar semnat și inofensiv, care este forțat să încarce un DLL modificat vicios pentru a fi executat ca shellcode. La rândul său, codul shell va proceda la decriptarea malware-ului. Odată stabilit pe dispozitivele violate, Talisman va oferi acces la acesta prin ușă din spate.

Talisman păstrează, de asemenea, capacitățile de plug-in așteptate de la o variantă PlugX. Unele dintre pluginurile considerate esențiale de către infractorii cibernetici sunt încorporate implicit în amenințare. Unele dintre pluginurile identificate au fost dezvăluite într-un raport al agenției americane CISA și includ Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL și Telnet. Funcțiile fiecărui plug-in se potrivesc cu numele său.

Până acum, Talisman a fost observat ca parte a mai multor campanii de atac. Cercetătorii au urmărit o operațiune amenințătoare care vizează entitățile din Asia de Sud care operează în sectoarele telecomunicațiilor și apărării. Atacul a fost atribuit unui grup de criminalitate cibernetică cunoscut sub numele de Nomad Panda sau RedFoxtrot. Mai recent, cercetătorii în domeniul securității au prins din nou un alt colectiv de hackeri aliniați chinezi care vizează ținte din sectorul telecomunicațiilor, dar de data aceasta situat în Asia Centrală. Această campanie specială a fost atribuită unui actor de amenințări urmărit ca „Moshen Dragon”. Trebuie subliniat că s-a stabilit o oarecare suprapunere între TTP-urile (Tactici, tehnici și proceduri) ale Moshen Dragon și RedFoxtrot.