Талисман КРЫСА

Talisman — это мощный RAT (троян удаленного доступа), который считается частью угрожающего арсенала групп кибершпионажа, поддерживаемых Китаем. Угроза была создана с использованием исходного кода печально известного вредоносного ПО PlugX и адаптирована к конкретным потребностям злоумышленников. Он работает, следуя аналогичному потоку выполнения, который включает в себя злоупотребление подписанным и безвредным двоичным файлом, который вынужден загружать злонамеренно модифицированную DLL для выполнения в качестве шелл-кода. В свою очередь, шелл-код приступит к расшифровке вредоносного ПО. После установки на взломанных устройствах Talisman предоставит к ним доступ через черный ход.

Talisman также сохраняет возможности подключаемых модулей, ожидаемые от варианта PlugX. Некоторые плагины, которые киберпреступники считают важными, по умолчанию встроены в угрозу. Некоторые из выявленных подключаемых модулей были раскрыты в отчете агентства США CISA и включают Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL и Telnet. Функции каждого плагина соответствуют его названию.

До сих пор Талисман был замечен в нескольких кампаниях нападения. Исследователи отследили угрожающую операцию, нацеленную на предприятия Южной Азии, работающие в телекоммуникационном и оборонном секторах. Атака была приписана киберпреступной группе, известной как Nomad Panda или RedFoxtrot. Совсем недавно исследователи в области безопасности поймали еще один хакерский коллектив, связанный с Китаем, который снова нацелен на цели из телекоммуникационного сектора, но на этот раз в Центральной Азии. Эта конкретная кампания была приписана злоумышленнику, которого отслеживают как «Moshen Dragon». Следует отметить, что было установлено некоторое совпадение между TTP (тактикой, техникой и процедурами) Moshen Dragon и RedFoxtrot.