Talisman RAT

Talisman je močan RAT (trojanec za oddaljeni dostop), ki je bil obravnavan kot del grozečega arzenala za katere domnevajo, da so kibernetske vohunske skupine, ki jih podpira Kitajska. Grožnja je bila ustvarjena z uporabo izvorne kode zloglasne zlonamerne programske opreme PlugX in je oblikovana tako, da ustreza posebnim potrebam akterjev grožnje. Deluje tako, da sledi podobnemu izvajalnemu toku, ki vključuje zlorabo podpisane in neškodljive binarne datoteke, ki je prisiljena naložiti zlobno spremenjeno DLL, da se izvede kot shellcode. Po drugi strani bo shellcode nadaljevala z dešifriranjem zlonamerne programske opreme. Ko bo Talisman vzpostavljen na vlomljenih napravah, bo omogočil dostop do zalednih vrat.

Talisman ohranja tudi vtičnike, ki se pričakujejo od različice PlugX. Nekateri vtičniki, ki jih kibernetski kriminalci menijo, da so bistveni, so privzeto vgrajeni v grožnjo. Nekateri identificirani vtičniki so bili razkriti v poročilu ameriške agencije CISA in vključujejo Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL in Telnet. Funkcije vsakega vtičnika se ujemajo z njegovim imenom.

Doslej so Talisman opazili kot del več napadov. Raziskovalci so izsledili grozečo operacijo, ki je bila usmerjena v južnoazijske subjekte, ki delujejo v telekomunikacijskem in obrambnem sektorju. Napad je bil pripisan skupini kibernetskega kriminala, znani kot Nomad Panda ali RedFoxtrot. Pred kratkim so varnostni raziskovalci ujeli še eno skupino hekerjev, ki je usklajena s Kitajsko, ki je ponovno usmerjena proti tarčam iz telekomunikacijskega sektorja, vendar tokrat v Srednji Aziji. Ta posebna kampanja je bila pripisana igralcu grožnje, ki se mu sledi kot 'Moshen Dragon'. Treba je poudariti, da je bilo ugotovljeno nekaj prekrivanja med TTP (Taktike, tehnike in postopki) Moshen Dragon in RedFoxtrot.