Tmanger
Tmanger ist ein RAT-Tool (Remote Access Trojan), das bei Angriffen der Advanced Persistent Threat (APT) -Gruppe TA428 verwendet wird. Die Malware-Bedrohung wurde erstmals beim Einsatz gegen Ziele in Japan beobachtet, kann jedoch problemlos auf infizierte Unternehmen aus der Mongolei, dem ursprünglichen Ziel der TA428-Gruppe, oder Vietnam, einem Mitglied der Belt and Road-Initiative, übertragen werden. Der Name der Bedrohung - Tmanger - kann eine fehlerhafte Version von Tmanager sein, eine Vermutung, die von mehreren fehlerhaften Zeichenfolgen unterstützt wird, die im zugrunde liegenden Code des Trojaners enthalten sind.
Tmanger besteht aus drei verschiedenen Teilen, die jedoch alle das gleiche Verhalten und die gleichen Funktionen aufweisen. Die Namen der Komponenten lauten SetUp, MloadDll und Client. Die SetUp-Datei ist die erste, die ausgeführt wird, und hat die Aufgabe, den Persistenzmechanismus für die Bedrohung festzulegen. Zuvor wird jedoch über CreateEvent ein bestimmter Ereignisname erstellt, ein Verhalten, das auch in MloadDll und Client zu finden ist. Der wahrscheinlichste Zweck besteht darin, zu verhindern, dass mehrere Starts der Bedrohung gleichzeitig ausgeführt werden. SetUp prüft dann, ob es über Administratorrechte verfügt, und entscheidet anhand des Ergebnisses, welcher Persistenzmechanismus verwendet werden soll. Wenn es sich um Admin handelt, werden mehrere Zeichenfolgen dekodiert, mit denen eine in System32 erstellte DLL-Datei als Dienst registriert wird. Anschließend wird der Dienst ausgeführt. Wenn SetUp keine Administratorrechte besitzt, wird eine Überprüfung mit dem Namen Rahoto.exe im Ordner Temp durchgeführt. Wenn festgestellt wird, dass eine solche Datei nicht vorhanden ist, kopiert sie sich selbst an diesen Speicherort und ändert ihren Namen in Rahoto.exe. Durch die Verwendung von CurrentVersion\Run in der Registrierung wird eine Autostart-Funktionalität festgelegt.
MloadDll ist dafür verantwortlich, die C&C-Serveradresse und die Portnummer in verschlüsselter Form zu übertragen. Es stellt auch die Hauptkomponente von Tmanger - Client bereit und führt sie aus. Die Client-Komponente beginnt ihre Datenerfassungsoperation mit dem Abrufen bestimmter Systemdetails, einschließlich Host-, Laufwerks- und Benutzerinformationen sowie Betriebssystem- und Architekturdaten. Wenn eine erfolgreiche Verbindung mit der Command-and-Control-Infrastruktur (C2, C&C) hergestellt wurde, beginnt Tmanger, auf eingehende Befehle der Hacker zu warten. Die Funktionalität umfasst bedrohliche Aktionen wie Dateimanipulationen, Exfiltration von Dateien, Starten bestimmter Prozesse, Erstellen von Screenshots, Abrufen von Schlüsselprotokollen und andere. Der Verkehr zwischen Tmanger und seinen C2-Servern ist RC4-verschlüsselt.
Die Tmanger RAT-Bedrohung befindet sich in der aktiven Entwicklung, was durch die Veröffentlichung mehrerer Versionen innerhalb relativ kurzer Zeit belegt wird. TA428 könnte sein Angebot an Bedrohungsaktivitäten weiter ausbauen und es mit zusätzlichen Funktionen ausstatten, um besser zu ihrer Agenda zu passen.
