Талісман ЩУР

Talisman — це потужний RAT (троян віддаленого доступу), який розглядався як частина загрозливого арсеналу, як вважають, підтримуваних Китаєм кібершпигунських груп. Загроза була створена за допомогою вихідного коду сумнозвісного зловмисного програмного забезпечення PlugX і сформована відповідно до конкретних потреб суб’єктів загрози. Він працює, дотримуючись подібного процесу виконання, який передбачає зловживання підписаним і нешкідливим двійковим файлом, який змушений завантажувати злісно модифіковану DLL для виконання як шелл-код. У свою чергу, шелл-код приступить до розшифровки шкідливого програмного забезпечення. Після встановлення на зламаних пристроях Talisman надасть до нього закритий доступ.

Talisman також зберігає можливості плагінів, які очікуються від варіанту PlugX. Деякі плагіни, які кіберзлочинці вважають необхідними, за замовчуванням вбудовані в загрозу. Деякі з ідентифікованих плагінів були виявлені у звіті американського агентства CISA і включають Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL і Telnet. Функції кожного плагіна відповідають його назві.

Поки що Талісман спостерігався в рамках кількох нападів. Дослідники відстежили загрозливу операцію, спрямовану на південноазіатські організації, що працюють у телекомунікаційному та оборонному секторах. Атаку приписують кіберзлочинній групі, відомому як Nomad Panda або RedFoxtrot. Зовсім нещодавно дослідники безпеки спіймали ще одну групу хакерів, пов’язану з Китаєм, знову спрямовану на цілі з телекомунікаційного сектору, але цього разу розташовану в Центральній Азії. Ця конкретна кампанія була пов’язана з загрозливим актором, який відстежується як «Moshen Dragon». Слід зазначити, що між TTPs (Тактика, методи та процедури) Moshen Dragon і RedFoxtrot було встановлено деяке збіг.