ยันต์RAT

Talisman เป็น RAT (โทรจันการเข้าถึงระยะไกล) ที่ทรงพลัง ซึ่งถูกมองว่าเป็นส่วนหนึ่งของคลังอาวุธที่คุกคามสิ่งที่เชื่อว่าเป็นกลุ่มจารกรรมทางอินเทอร์เน็ตที่ได้รับการสนับสนุนจากจีน ภัยคุกคามถูกสร้างขึ้นโดยใช้ซอร์สโค้ดของมัลแวร์ PlugX ที่น่าอับอาย และถูกสร้างขึ้นมาเพื่อให้เหมาะกับความต้องการเฉพาะของผู้คุกคาม มันทำงานโดยทำตามขั้นตอนการดำเนินการที่คล้ายกันซึ่งเกี่ยวข้องกับการใช้ไบนารีที่มีลายเซ็นและไม่เป็นอันตรายซึ่งถูกบังคับให้โหลด DLL ที่แก้ไขอย่างเลวร้ายเพื่อดำเนินการเป็นเชลล์โค้ด ในทางกลับกัน shellcode จะดำเนินการถอดรหัสมัลแวร์ต่อไป เมื่อติดตั้งบนอุปกรณ์ที่ถูกละเมิดแล้ว Talisman จะให้การเข้าถึงแบ็คดอร์

Talisman ยังรักษาความสามารถของปลั๊กอินที่คาดหวังจากตัวแปร PlugX ปลั๊กอินบางตัวที่อาชญากรไซเบอร์มองว่าจำเป็นจะถูกฝังอยู่ในภัยคุกคามโดยค่าเริ่มต้น ปลั๊กอินที่ระบุบางส่วนถูกเปิดเผยในรายงานโดยหน่วยงาน CISA ของสหรัฐอเมริกา และรวมถึง Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL และ Telnet หน้าที่ของปลั๊กอินแต่ละตัวตรงกับชื่อของมัน

จนถึงตอนนี้ Talisman เป็นส่วนหนึ่งของการโจมตีหลายครั้ง นักวิจัยติดตามปฏิบัติการที่คุกคามโดยมุ่งเป้าไปยังหน่วยงานในเอเชียใต้ที่ปฏิบัติงานในภาคโทรคมนาคมและการป้องกันประเทศ การโจมตีดังกล่าวมีสาเหตุมาจากกลุ่มอาชญากรไซเบอร์ที่รู้จักกันในชื่อ Nomad Panda หรือ RedFoxtrot ไม่นานมานี้ นักวิจัยด้านความปลอดภัยได้จับกลุ่มแฮ็กเกอร์ที่จีนอีกกลุ่มหนึ่งซึ่งมุ่งเป้าไปที่เป้าหมายจากภาคโทรคมนาคมอีกครั้ง แต่คราวนี้ตั้งอยู่ในเอเชียกลาง แคมเปญนี้มีสาเหตุมาจากผู้คุกคามที่ถูกติดตามว่าเป็น 'Moshen Dragon' ควรสังเกตว่ามีการทับซ้อนกันระหว่าง TTP (กลยุทธ์ เทคนิค และขั้นตอน) ของ Moshen Dragon และ RedFoxtrot