タリスマンRAT

タリスマンは強力なRAT（リモートアクセストロイの木馬）であり、中国が支援するサイバースパイグループと考えられているものの脅威的な武器の一部と見なされています。脅威は、悪名高いPlugXマルウェアのソースコードを使用して作成され、脅威の攻撃者の特定のニーズに合うように形成されています。これは、署名された無害なバイナリを悪用することを含む同様の実行フローに従うことによって動作します。これは、シェルコードとして実行するために悪意を持って変更されたDLLをロードすることを余儀なくされます。次に、シェルコードはマルウェアの復号化に進みます。侵害されたデバイスで確立されると、Talismanはそのデバイスへのバックドアアクセスを提供します。

Talismanは、PlugXバリアントに期待されるプラグイン機能も保持しています。サイバー犯罪者によって不可欠と見なされるプラグインの一部は、デフォルトで脅威に組み込まれています。識別されたプラグインのいくつかは、米国のCISA機関によるレポートで明らかにされており、Disk、Nethood、Netstat、Option、PortMap、RegEdit、Service、Shell、SQL、Telnetが含まれています。各プラグインの機能は、その名前と一致しています。

これまでのところ、タリスマンはいくつかの攻撃キャンペーンの一部として観察されています。研究者は、通信および防衛セクターで活動している南アジアのエンティティを対象とした脅迫的な活動を追跡しました。この攻撃は、NomadPandaまたはRedFoxtrotとして知られるサイバー犯罪グループに起因しています。最近では、セキュリティ研究者が、電気通信セクターのターゲットを狙った別の中国系ハッカー集団を再び捕まえましたが、今回は中央アジアにあります。この特定のキャンペーンは、「MoshenDragon」として追跡された脅威アクターに起因しています。 Moshen DragonとRedFoxtrotのTTP（戦術、技術、手順）の間にいくつかの重複が確立されていることを指摘しておく必要があります。