護身符老鼠

Talisman 是一種強大的 RAT(遠程訪問木馬),被認為是中國支持的網絡間諜組織的威脅武器庫的一部分。該威脅是通過使用臭名昭著的PlugX惡意軟件的源代碼創建的,並且是為了滿足威脅參與者的特定需求而設計的。它通過遵循類似的執行流程進行操作,該流程涉及濫用已簽名且無害的二進製文件,該二進製文件被迫加載惡意修改的 DLL 以作為 shellcode 執行。反過來,shellcode 將繼續解密惡意軟件。一旦在被破壞的設備上建立起來,Talisman 將提供對其的後門訪問。

Talisman 還保留了 PlugX 變體所期望的插件功能。網絡犯罪分子認為必不可少的一些插件默認嵌入到威脅中。美國 CISA 機構在一份報告中披露了一些已識別的插件,包括 Disk、Nethood、Netstat、Option、PortMap、RegEdit、Service、Shell、SQL 和 Telnet。每個插件的功能與其名稱相匹配。

到目前為止,已經觀察到 Talisman 作為幾次攻擊活動的一部分。研究人員追踪了針對在電信和國防領域運營的南亞實體的威脅行動。這次攻擊被歸咎於一個名為 Nomad Panda 或 RedFoxtrot 的網絡犯罪組織。最近,安全研究人員發現另一個與中國結盟的黑客組織再次針對電信部門的目標,但這次位於中亞。這個特定的活動被歸因於被追踪為“Moshen Dragon”的威脅行為者。需要指出的是,摩神龍和紅狐步的 TTP(戰術、技術和程序)之間已經建立了一些重疊。

熱門

最受關注

加載中...