Hajmali RAT

Talisman është një RAT i fuqishëm (Trojan i Qasjes në Distanca) që është parë si pjesë e arsenalit kërcënues të atyre që besohet se janë grupe kibernetike të mbështetura nga Kina. Kërcënimi u krijua duke përdorur kodin burimor të malware famëkeq PlugX dhe është formuar për t'iu përshtatur nevojave të veçanta të aktorëve të kërcënimit. Ai funksionon duke ndjekur një rrjedhë të ngjashme ekzekutimi që përfshin abuzimin e një binar të nënshkruar dhe të padëmshëm, i cili detyrohet të ngarkojë një DLL të modifikuar në mënyrë të egër për ta ekzekutuar si shellcode. Nga ana tjetër, shellcode do të vazhdojë të deshifrojë malware. Pasi të vendoset në pajisjet e shkelura, Talisman do të ofrojë akses me dyer të pasme në të.

Talisman ruan gjithashtu aftësitë plug-in të pritura nga një variant PlugX. Disa nga shtojcat që konsiderohen thelbësore nga kriminelët kibernetikë janë të ngulitura në kërcënim si parazgjedhje. Disa nga shtojcat e identifikuara u zbuluan në një raport nga agjencia amerikane CISA dhe përfshijnë Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL dhe Telnet. Funksionet e çdo plug-in përputhen me emrin e tij.

Deri më tani, Talisman është vëzhguar si pjesë e disa fushatave sulmuese. Studiuesit gjurmuan një operacion kërcënues që synonte njësitë e Azisë Jugore që operonin në sektorët e telekomit dhe të mbrojtjes. Sulmi i është atribuar një grupi të krimit kibernetik të njohur si Nomad Panda ose RedFoxtrot. Kohët e fundit, studiuesit e sigurisë kapën një tjetër grup hakerësh të lidhur me Kinën që synonte sërish objektiva nga sektori i telekomunikacionit, por këtë herë të vendosur në Azinë Qendrore. Kjo fushatë e veçantë i është atribuar një aktori kërcënimi të gjurmuar si 'Moshen Dragon'. Duhet të theksohet se është krijuar një mbivendosje midis TTP-ve (Taktika, teknika dhe procedura) të Moshen Dragon dhe RedFoxtrot.