Tmanger

Tmanger is een Remote Access Trojan (RAT) -tool die wordt gebruikt bij aanvallen die worden uitgevoerd door de Advanced Persistent Threat (APT) -groep die bekend staat als TA428. De malwarebedreiging werd voor het eerst waargenomen toen het werd ingezet tegen doelen in Japan, maar het kan gemakkelijk worden overgedragen aan besmette entiteiten uit Mongolië, het oorspronkelijke doelwit van de TA428-groep, of Vietnam, een lid van het Belt and Road-initiatief. De naam van de bedreiging - Tmanger, kan een verkeerd getypte versie van Tmanager zijn, een vermoeden dat wordt ondersteund door verschillende verkeerd getypte tekenreeksen die in de onderliggende code van de trojan zijn gevonden.

Tmanger bestaat uit drie verschillende delen, maar ze delen allemaal een bepaald identiek gedrag en dezelfde functies. De namen van de componenten zijn SetUp, MloadDll en Client. Het SetUp-bestand is het eerste dat wordt uitgevoerd en heeft tot taak het persistentiemechanisme voor de dreiging vast te stellen. Voordien maakt het echter een specifieke gebeurtenisnaam aan via CreateEvent, een gedrag dat ook wordt aangetroffen in MloadDll en Client. Het meest waarschijnlijke doel is om te voorkomen dat meerdere opstartprogramma's van de dreiging tegelijkertijd worden uitgevoerd. SetUp controleert vervolgens of het beheerdersrechten heeft en beslist welk persistentiemechanisme moet worden gebruikt op basis van het resultaat. Als het een Admin is, gaat het verder met het decoderen van verschillende tekenreeksen die worden gebruikt om een DLL-bestand gemaakt in System32 te registreren als een service, waarna het de service uitvoert. Als SetUp geen beheerdersrechten heeft, wordt er een controle uitgevoerd op een bestand met de naam Rahoto.exe in de map Temp. Als wordt vastgesteld dat een dergelijk bestand niet bestaat, kopieert het zichzelf naar die locatie en verandert het ook de naam in Rahoto.exe. Door CurrentVersion\Run in het register te gebruiken, stelt het een autostart-functionaliteit in.

MloadDll is verantwoordelijk voor het in gecodeerde vorm dragen van het C&C-serveradres en poortnummer. Het implementeert en voert ook het hoofdonderdeel van Tmanger - Client uit. De Client-component begint met het verzamelen van gegevens door bepaalde systeemdetails te verkrijgen, waaronder Host-, Drive- en gebruikersinformatie, evenals OS- en architectuurgegevens. Als er een succesvolle verbinding tot stand is gebracht met de Command-and-Control (C2, C&C) -infrastructuur, begint Tmanger te luisteren naar inkomende commando's van de hackers. De functionaliteit omvat bedreigende acties zoals bestandsmanipulaties, exfiltratie van bestanden, het starten van specifieke processen, het maken van screenshots, het verkrijgen van sleutellogboeken en meer. Het verkeer tussen Tmanger en zijn C2-servers is RC4-gecodeerd.

De Tmanger RAT-dreiging is in actieve ontwikkeling, wat blijkt uit de release van verschillende versies binnen een relatief korte periode. TA428 zou zijn reeks bedreigende activiteiten verder kunnen uitbreiden en het kunnen uitrusten met extra functies die beter passen bij hun agenda.