Tmanger

O Tmanger é uma ferramenta de um Trojan de Acesso Remoto (RAT) usada em ataques realizados pelo grupo Advanced Persistent Threat (APT) conhecido como TA428. A ameaça de malware foi observada pela primeira vez quando implantada contra alvos no Japão, mas pode ser facilmente transferida para infectar entidades da Mongólia, o alvo original do grupo TA428, ou do Vietnã, um membro da iniciativa Belt and Road. O nome da ameaça - Tmanger, pode ser uma versão digitada incorretamente do Tmanager, uma conjectura suportada por várias cadeias de caracteres digitadas incorretamente no código subjacente do trojan.

O Tmanger é composto de três partes diferentes, mas todas compartilham certos comportamentos e funções idênticos. Os nomes dos componentes são SetUp, MloadDll e Client. O arquivo SetUp é o primeiro a ser executado e tem a tarefa de estabelecer o mecanismo de persistência da ameaça. Antes disso, porém, ele cria um nome de evento específico por meio de CreateEvent, um comportamento também encontrado em MloadDll e Client. O objetivo mais provável é evitar que várias inicializações da ameaça sejam executadas simultaneamente. O SetUp verifica se tem privilégios de administrador e decide qual mecanismo de persistência usar com base no resultado. Se for Admin, ele decodifica várias cadeias de caracteres usadas para registrar como um serviço um arquivo DLL criado no System32, após o qual executa o serviço. Se SetUp não tiver permissões de administrador, ele executa uma verificação em um arquivo chamado Rahoto.exe na pasta Temp. Ao determinar que tal arquivo não existe, ele se copia para esse local enquanto também muda seu nome para Rahoto.exe. Usando Versão Atuak\Executar no registro, ele define uma funcionalidade de inicialização automática.

O MloadDll é responsável por transportar de forma codificada o endereço do servidor C&C e o número da porta. Ele também implanta e executa o componente principal do Tmanger - Cliente. O componente Cliente começa sua operação de coleta de dados obtendo certos detalhes do sistema, incluindo Host, Drive e as informações do usuário, bem como dados de SO e arquitetura. Se uma conexão bem-sucedida com a infraestrutura de comando e controle (C2, C&C) tiver sido estabelecida, o Tmanger começa a escutar quaisquer comandos de entrada dos hackers. Sua funcionalidade abrange ações ameaçadoras, como manipulação de arquivos, exfiltração de arquivos, inicialização de processos específicos, captura de tela, obtenção de logs de chave e outros. O tráfego entre o Tmanger e seus servidores C2 é criptografado por RC4.

A ameaça Tmanger RAT está em desenvolvimento ativo, evidenciado pelo lançamento de várias versões em um período relativamente curto. TA428 poderia expandir ainda mais seu conjunto de atividades ameaçadoras e equipá-lo com funções adicionais para melhor atender a sua agenda.