Talizman RAT

Talisman je silný trójsky kôň RAT (Remote Access Trojan), ktorý bol považovaný za súčasť hrozivého arzenálu kyberšpionážnych skupín, o ktorých sa predpokladá, že sú podporované Čínou. Hrozba bola vytvorená pomocou zdrojového kódu neslávne známeho malvéru PlugX a je prispôsobená konkrétnym potrebám aktérov hrozieb. Funguje podľa podobného vykonávacieho toku, ktorý zahŕňa zneužitie podpísaného a neškodného binárneho súboru, ktorý je nútený načítať zlomyseľne upravenú knižnicu DLL, ktorá sa má spustiť ako shell kód. Na druhej strane, shell kód bude pokračovať v dešifrovaní malvéru. Po pripojení na narušené zariadenia k nim Talisman poskytne prístup zadnými vrátkami.

Talisman si tiež zachováva možnosti zásuvných modulov očakávané od variantu PlugX. Niektoré zásuvné moduly, ktoré počítačoví zločinci považujú za nevyhnutné, sú štandardne zabudované do hrozby. Niektoré z identifikovaných doplnkov boli odhalené v správe americkej agentúry CISA a zahŕňajú Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL a Telnet. Funkcie každého doplnku zodpovedajú jeho názvu.

Talisman bol doteraz pozorovaný ako súčasť niekoľkých útočných kampaní. Výskumníci sledovali hrozivú operáciu zameranú na juhoázijské subjekty pôsobiace v telekomunikačnom a obrannom sektore. Útok bol pripísaný kyberzločineckej skupine známej ako Nomad Panda alebo RedFoxtrot. Nedávno výskumníci v oblasti bezpečnosti chytili ďalšiu skupinu hackerov s čínskym zameraním, ktorá sa opäť zameriavala na ciele z telekomunikačného sektora, ale tentoraz sa nachádza v Strednej Ázii. Táto konkrétna kampaň bola pripísaná aktérovi hrozby sledovanému ako 'Moshen Dragon'. Malo by sa zdôrazniť, že došlo k určitému prekrývaniu medzi TTP (taktika, techniky a postupy) Moshen Dragon a RedFoxtrot.