Talisman RAT

Talisman là một RAT mạnh (Trojan truy cập từ xa) được coi là một phần của kho vũ khí đe dọa những gì được cho là các nhóm gián điệp mạng do Trung Quốc hậu thuẫn. Mối đe dọa được tạo ra bằng cách sử dụng mã nguồn của phần mềm độc hại nổi tiếng PlugX và được tạo ra để phù hợp với nhu cầu cụ thể của các tác nhân gây ra mối đe dọa. Nó hoạt động bằng cách tuân theo một quy trình thực thi tương tự liên quan đến việc lạm dụng một tệp nhị phân có dấu và vô hại, buộc phải tải một DLL được sửa đổi nghiêm trọng để thực thi dưới dạng shellcode. Đến lượt mình, shellcode sẽ tiến hành giải mã phần mềm độc hại. Sau khi được thiết lập trên các thiết bị bị xâm phạm, Talisman sẽ cung cấp quyền truy cập cửa sau vào nó.

Talisman cũng giữ lại các khả năng plug-in được mong đợi từ một biến thể PlugX. Một số plug-in được tội phạm mạng cho là thiết yếu được nhúng vào mối đe dọa theo mặc định. Một số plug-in được xác định đã được tiết lộ trong một báo cáo của cơ quan CISA Hoa Kỳ và bao gồm Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL và Telnet. Các chức năng của mỗi trình cắm phù hợp với tên của nó.

Cho đến nay, Talisman đã được quan sát là một phần của một số chiến dịch tấn công. Các nhà nghiên cứu đã theo dõi một hoạt động đe dọa nhắm vào các thực thể Nam Á hoạt động trong lĩnh vực viễn thông và quốc phòng. Cuộc tấn công được cho là do một nhóm tội phạm mạng có tên là Nomad Panda hoặc RedFoxtrot. Gần đây hơn, các nhà nghiên cứu bảo mật đã bắt gặp một nhóm hacker khác có liên kết với Trung Quốc nhằm vào các mục tiêu từ lĩnh vực viễn thông, nhưng lần này là ở Trung Á. Chiến dịch cụ thể này đã được quy cho một tác nhân đe dọa được theo dõi là 'Moshen Dragon.' Cần phải chỉ ra rằng một số chồng chéo đã được thiết lập giữa các TTP (Chiến thuật, kỹ thuật và quy trình) của Moshen Dragon và RedFoxtrot.