Tmanger

Tmanger es una herramienta troyana de acceso remoto (RAT) utilizada en ataques llevados a cabo por el grupo Advanced Persistent Threat (APT) conocido como TA428. La amenaza de malware se observó por primera vez cuando se implementó contra objetivos en Japón, pero se puede transferir fácilmente para infectar entidades de Mongolia, el objetivo original del grupo TA428, o Vietnam, miembro de la iniciativa Belt and Road. El nombre de la amenaza, Tmanger, puede ser una versión mal escrita de Tmanager, una conjetura respaldada por varias cadenas mal escritas que se encuentran en el código subyacente del troyano.

Tmanger se compone de tres partes diferentes, pero todas comparten ciertos comportamientos y funciones idénticos. Los nombres de los componentes son SetUp, MloadDll y Client. El archivo de configuración es el primero en ejecutarse y tiene la tarea de establecer el mecanismo de persistencia de la amenaza. Sin embargo, antes de eso, crea un nombre de evento específico a través de CreateEvent, un comportamiento que también se encuentra en MloadDll y Client. El propósito más probable es evitar que se ejecuten simultáneamente varios arranques de la amenaza. A continuación, SetUp comprueba si tiene privilegios de administrador y decide qué mecanismo de persistencia utilizar en función del resultado. Si es Admin, procede a decodificar varias cadenas de caracteres utilizadas para registrar como servicio un archivo DLL creado en System32, luego de lo cual ejecuta el servicio. Si SetUp no tiene permisos de administrador, realiza una verificación de un archivo llamado Rahoto.exe en la carpeta Temp. Al determinar que dicho archivo no existe, se copia a sí mismo en esa ubicación y también cambia su nombre a Rahoto.exe. Al usar CurrentVersion\Run en el registro, establece una funcionalidad de inicio automático.

MloadDll es responsable de llevar en forma codificada la dirección del servidor C&C y el número de puerto. También implementa y ejecuta el componente principal de Tmanger - Client. El componente Cliente comienza su operación de recolección de datos obteniendo ciertos detalles del sistema, incluidos el host, la unidad y la información del usuario, así como los datos del sistema operativo y la arquitectura. Si se ha establecido una conexión exitosa con la infraestructura de Comando y Control (C2, C&C), Tmanger comienza a escuchar los comandos entrantes de los piratas informáticos. Su funcionalidad abarca acciones amenazantes como manipulación de archivos, exfiltración de archivos, lanzamiento de procesos específicos, captura de pantalla, obtención de registros de claves y otros. El tráfico entre Tmanger y sus servidores C2 está encriptado RC4.

La amenaza Tmanger RAT está en desarrollo activo, evidenciado por el lanzamiento de varias versiones en un período relativamente corto. TA428 podría ampliar aún más su conjunto de actividades amenazadoras y equiparlo con funciones adicionales para adaptarse mejor a su agenda.