Tmanger

Tmanger è uno strumento di accesso remoto Trojan (RAT) utilizzato negli attacchi effettuati dal gruppo APT (Advanced Persistent Threat) noto come TA428. La minaccia malware è stata osservata per la prima volta quando è stata distribuita contro obiettivi in Giappone, ma può essere facilmente trasferita a entità infette dalla Mongolia, l'obiettivo originale del gruppo TA428, o dal Vietnam, un membro dell'iniziativa Belt and Road. Il nome della minaccia - Tmanger, potrebbe essere una versione errata di Tmanager, una congettura supportata da diverse stringhe digitate nel codice sottostante del trojan.

Tmanger è composto da tre parti diverse, ma tutte condividono determinati comportamenti e funzioni identiche. I nomi dei componenti sono SetUp, MloadDll e Client. Il file SetUp è il primo ad essere eseguito e ha il compito di stabilire il meccanismo di persistenza della minaccia. Prima di ciò, tuttavia, crea un nome di evento specifico tramite CreateEvent, un comportamento trovato anche in MloadDll e Client. Lo scopo più probabile è impedire l'esecuzione simultanea di più avviamenti della minaccia. SetUp controlla quindi se dispone dei privilegi di amministratore e decide quale meccanismo di persistenza utilizzare in base al risultato. Se è Admin, procede alla decodifica di diverse stringhe di caratteri utilizzate per registrare come servizio un file DLL creato in System32, dopodiché esegue il servizio. Se SetUp non dispone delle autorizzazioni di amministratore, esegue un controllo per un file denominato Rahoto.exe nella cartella Temp. Dopo aver determinato che tale file non esiste, si copia in quella posizione cambiando anche il suo nome in Rahoto.exe. Utilizzando CurrentVersion\Run nel registro, imposta una funzionalità di avvio automatico.

MloadDll è responsabile del trasporto in forma codificata dell'indirizzo del server C&C e del numero di porta. Inoltre distribuisce ed esegue il componente principale di Tmanger - Client. Il componente Client inizia la sua operazione di raccolta dei dati ottenendo determinati dettagli di sistema, inclusi Host, Drive e le informazioni sull'utente, nonché i dati del sistema operativo e dell'architettura. Se è stata stabilita una connessione riuscita con l'infrastruttura di Command-and-Control (C2, C&C), Tmanger inizia ad ascoltare eventuali comandi in entrata dagli hacker. La sua funzionalità comprende azioni minacciose come la manipolazione di file, l'esfiltrazione di file, l'avvio di processi specifici, l'acquisizione di schermate, l'ottenimento di registri chiave e altro. Il traffico tra Tmanger e i suoi server C2 è crittografato RC4.

La minaccia Tmanger RAT è in fase di sviluppo attivo, evidenziato dal rilascio di diverse versioni in un periodo relativamente breve. TA428 potrebbe espandere ulteriormente la sua serie di attività minacciose e dotarlo di funzioni aggiuntive per adattarsi meglio alla loro agenda.