Talisman-malware

Talisman is de naam van een stukje malware dat medio 2022 is ontdekt. De malware werd in het wild gespot in een campagne gericht op telecomoperators in Zuid-Azië.

Volgens onderzoekers is Talisman een nieuwe spin-off van de oudere PlugX-malware. Talisman gebruikt het kapen van DLL-zoekopdrachten in combinatie met technieken die misbruik maken van verschillende normale en legitieme anti-malwareoplossingen. Zodra de hackers het DLL-bestand hebben gekaapt, gebruiken ze het om de uiteindelijke payload te decoderen, ofwel Talisman of ShadowPad.

Zodra de malware is gedecodeerd en geïmplementeerd, gebruikt het taakplanning of Windows-services om persistentie op het aangetaste systeem te krijgen.

De campagne waarin Talisman voor het eerst werd gesignaleerd, zou zijn uitgevoerd door een Chinese dreigingsactor. Onderzoekers hebben de dreigingsactor erachter Moshen Dragon genoemd en geloven dat ze tactieken en operatiemethoden delen met een andere geavanceerde persistente dreigingsactor die wordt verondersteld te zijn verbonden met China, genaamd Nomad Panda.

De dreigingsactor die in de vroege 2022-campagne malware gebruikte en zich richtte op telecomoperators en bedrijven, gebruikt ook tools die verband houden met cyberspionage en zijwaartse verplaatsing over gecompromitteerde netwerken. De methoden die de dreigingsactoren oorspronkelijk gebruiken om hun doelen te infiltreren en de initiële aanvalsvector zijn nog steeds onzeker.

May 4, 2022