Talisman-RATTE

Talisman ist eine potente RAT (Remote Access Trojan), die als Teil des bedrohlichen Arsenals von mutmaßlich von China unterstützten Cyberspionage-Gruppen angesehen wird. Die Bedrohung wurde unter Verwendung des Quellcodes der berüchtigten PlugX- Malware erstellt und an die besonderen Bedürfnisse der Bedrohungsakteure angepasst. Es funktioniert nach einem ähnlichen Ausführungsablauf, bei dem eine signierte und harmlose Binärdatei missbraucht wird, die gezwungen ist, eine bösartig modifizierte DLL zu laden, um sie als Shellcode auszuführen. Der Shellcode wiederum entschlüsselt die Malware. Sobald Talisman auf den gehackten Geräten eingerichtet ist, bietet es Backdoor-Zugriff darauf.

Talisman behält auch die von einer PlugX-Variante erwarteten Plug-in-Fähigkeiten bei. Einige der Plug-Ins, die von den Cyberkriminellen als wesentlich erachtet werden, sind standardmäßig in die Bedrohung eingebettet. Einige der identifizierten Plug-Ins wurden in einem Bericht der US-Behörde CISA enthüllt und umfassen Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL und Telnet. Die Funktionen jedes Plug-Ins entsprechen seinem Namen.

Bisher wurde Talisman im Rahmen mehrerer Angriffskampagnen beobachtet. Forscher verfolgten eine bedrohliche Operation gegen südasiatische Unternehmen, die in den Telekommunikations- und Verteidigungssektoren tätig sind. Der Angriff wurde einer Cybercrime-Gruppe namens Nomad Panda oder RedFoxtrot zugeschrieben. In jüngerer Zeit haben Sicherheitsforscher ein weiteres chinesisch ausgerichtetes Hacker-Kollektiv erwischt, das erneut auf Ziele aus dem Telekommunikationssektor abzielte, diesmal jedoch in Zentralasien. Diese spezielle Kampagne wurde einem Bedrohungsakteur zugeschrieben, der als „Moshen Dragon“ verfolgt wird. Es sollte darauf hingewiesen werden, dass einige Überschneidungen zwischen den TTPs (Taktiken, Techniken und Verfahren) von Moshen Dragon und RedFoxtrot festgestellt wurden.