Talisman Malware

Talisman är namnet på en del av skadlig programvara som upptäcktes i mitten av 2022. Skadlig programvara upptäcktes i naturen i en kampanj riktad mot telekommunikationsoperatörer i södra Asien.

Enligt forskare är Talisman en ny spinoff av den äldre PlugX malware. Talisman använder DLL-sökningsorderkapning i kombination med tekniker som missbrukar flera normala och legitima lösningar mot skadlig programvara. När hackarna väl kapar DLL-filen använder de den för att dekryptera den slutliga nyttolasten som antingen är Talisman eller ShadowPad.

När skadlig programvara har dekrypterats och distribuerats använder den antingen uppgiftsschemaläggning eller Windows-tjänster för att få uthållighet på det komprometterade systemet.

Kampanjen där Talisman sågs för första gången tros ha genomförts av en hotaktör som är ansluten till Kina. Forskare har kallat hotaktören bakom det för Moshen Dragon och tror att de delar taktik och operationsmetoder med en annan avancerad ihållande hotaktör som tros vara i linje med Kina, kallad Nomad Panda.

Hotaktören som använde skadlig programvara i början av 2022-kampanjen riktad mot telekomoperatörer och företag använder också verktyg förknippade med cyberspionage och sidorörelser över komprometterade nätverk. De metoder som hotaktörerna använder för att infiltrera sina mål ursprungligen och den initiala attackvektorn är fortfarande osäkra.

May 4, 2022