Tmanger

Tmanger er et Remote Access Trojan (RAT) værktøj, der anvendes i angreb udført af gruppen Advanced Persistent Threat (APT) kendt som TA428. Malwaretruslen blev først observeret, da den blev implementeret mod mål i Japan, men den kan let overføres til inficerende enheder fra Mongoliet, det oprindelige mål for TA428-gruppen, eller Vietnam, et medlem af Belt and Road-initiativet. Navnet på truslen - Tmanger, kan være en forkert indtastet version af Tmanager, en formodning understøttet af flere forkert indtastede strenge, der findes i trojans underliggende kode.

Tmanger består af tre forskellige dele, men de deler alle visse identiske adfærd og funktioner. Navnene på komponenterne er SetUp, MloadDll og Client. SetUp-filen er den første, der udføres, og den har til opgave at etablere persistensmekanismen for truslen. Før det opretter det dog et specifikt begivenhedsnavn gennem CreateEvent, en adfærd, der også findes i MloadDll og Client. Det mest sandsynlige formål er at forhindre, at flere støvler af truslen kører samtidigt. SetUp kontrollerer derefter, om det har administratorrettigheder og beslutter, hvilken vedholdenhedsmekanisme der skal bruges baseret på resultatet. Hvis det er administrator, fortsætter det med at afkode flere tegnstrenge, der bruges til at registrere en DLL-fil oprettet i System32 som en tjeneste, hvorefter den udfører tjenesten. Hvis SetUp ikke har administratortilladelser, udfører den en kontrol af en fil med navnet Rahoto.exe i Temp-mappen. Når det bestemmes, at en sådan fil ikke eksisterer, kopierer den sig selv til den placering, mens den også ændrer navnet til Rahoto.exe. Ved at bruge CurrentVersion\Run i registreringsdatabasen indstiller den en autostart-funktionalitet.

MloadDll er ansvarlig for at bære C & C-serveradresse og portnummer i en kodet form. Det implementerer og udfører også hovedkomponenten i Tmanger - Client. Klientkomponenten begynder sin dataindsamlingsoperation ved at indhente visse systemoplysninger, herunder vært, drev og brugerinformation samt OS- og arkitekturdata. Hvis en vellykket forbindelse med Command-and-Control (C2, C&C) -infrastrukturen er etableret, begynder Tmanger at lytte efter eventuelle indgående kommandoer fra hackerne. Dens funktionalitet omfatter truende handlinger såsom filmanipulation, exfiltrering af filer, lancering af specifikke processer, optagelse af skærmbilleder, indhentning af nøglelog mv. Trafikken mellem Tmanger og dens C2-servere er RC4-krypteret.

Tmanger RAT-truslen er under aktiv udvikling, hvilket fremgår af frigivelsen af flere versioner inden for en relativt kort periode. TA428 kunne udvide sit sæt truende aktiviteter yderligere og udstyre det med yderligere funktioner, der passer bedre til deres dagsorden.