Tmanger

Tmanger est un outil de cheval de Troie d'accès à distance (RAT) utilisé dans les attaques menées par le groupe Advanced Persistent Threat (APT) connu sous le nom de TA428. La menace de malware a été observée pour la première fois lorsqu'elle était déployée contre des cibles au Japon, mais elle peut facilement être transférée pour infecter des entités de Mongolie, la cible d'origine du groupe TA428, ou du Vietnam, membre de l'initiative Belt and Road. Le nom de la menace - Tmanger, peut être une version mal saisie de Tmanager, une conjecture supportée par plusieurs chaînes mal saisies trouvées dans le code sous-jacent du cheval de Troie.

Tmanger est composé de trois parties différentes, mais elles partagent toutes un comportement et des fonctions identiques. Les noms des composants sont SetUp, MloadDll et Client. Le fichier SetUp est le premier à être exécuté et il est chargé d'établir le mécanisme de persistance de la menace. Avant cela, cependant, il crée un nom d'événement spécifique via CreateEvent, un comportement également trouvé dans MloadDll et Client. L'objectif le plus probable est d'empêcher l'exécution simultanée de plusieurs démarrages de la menace. SetUp vérifie ensuite s'il dispose des privilèges d'administrateur et décide du mécanisme de persistance à utiliser en fonction du résultat. S'il s'agit d'Admin, il procède au décodage de plusieurs chaînes de caractères utilisées pour enregistrer en tant que service un fichier DLL créé dans System32, après quoi il exécute le service. Si SetUp ne dispose pas des autorisations d'administrateur, il vérifie la présence d'un fichier nommé Rahoto.exe dans le dossier Temp. Après avoir déterminé qu'un tel fichier n'existe pas, il se copie à cet emplacement tout en changeant également son nom en Rahoto.exe. En utilisant CurrentVersion\Run dans le Registre, il définit une fonctionnalité de démarrage automatique.

MloadDll est responsable de transporter sous une forme codée l'adresse du serveur C & C et le numéro de port. Il déploie et exécute également le composant principal de Tmanger - Client. Le composant Client commence son opération de collecte de données en obtenant certains détails du système, y compris l'hôte, le lecteur et les informations utilisateur, ainsi que les données du système d'exploitation et de l'architecture. Si une connexion réussie avec l'infrastructure Command-and-Control (C2, C&C) a été établie, Tmanger commence à écouter les commandes entrantes des pirates. Sa fonctionnalité englobe des actions menaçantes telles que la manipulation de fichiers, l'exfiltration de fichiers, le lancement de processus spécifiques, la prise de captures d'écran, l'obtention de journaux clés, etc. Le trafic entre Tmanger et ses serveurs C2 est crypté RC4.

La menace Tmanger RAT est en cours de développement actif, comme en témoigne la publication de plusieurs versions dans un délai relativement court. TA428 pourrait encore élargir son ensemble d'activités menaçantes et le doter de fonctions supplémentaires pour mieux répondre à leur programme.