护身符老鼠
Talisman 是一种强大的 RAT(远程访问木马),被认为是中国支持的网络间谍组织的威胁武器库的一部分。该威胁是通过使用臭名昭著的PlugX恶意软件的源代码创建的,并且是为了满足威胁参与者的特定需求而设计的。它通过遵循类似的执行流程进行操作,该流程涉及滥用已签名且无害的二进制文件,该二进制文件被迫加载恶意修改的 DLL 以作为 shellcode 执行。反过来,shellcode 将继续解密恶意软件。一旦在被破坏的设备上建立起来,Talisman 将提供对其的后门访问。
Talisman 还保留了 PlugX 变体所期望的插件功能。网络犯罪分子认为必不可少的一些插件默认嵌入到威胁中。美国 CISA 机构在一份报告中披露了一些已识别的插件,包括 Disk、Nethood、Netstat、Option、PortMap、RegEdit、Service、Shell、SQL 和 Telnet。每个插件的功能与其名称相匹配。
到目前为止,已经观察到 Talisman 作为几次攻击活动的一部分。研究人员追踪了针对在电信和国防领域运营的南亚实体的威胁行动。这次攻击被归咎于一个名为 Nomad Panda 或 RedFoxtrot 的网络犯罪组织。最近,安全研究人员发现另一个与中国结盟的黑客组织再次针对电信部门的目标,但这次位于中亚。这个特定的活动被归因于被追踪为“Moshen Dragon”的威胁行为者。需要指出的是,摩神龙和红狐步的 TTP(战术、技术和程序)之间已经建立了一些重叠。
