Mocha Manakin Angriffserkennung: Hacker Verbreiten Eine Angepasste NodeJS Backdoor Namens NodeInitRAT Mit Der Paste-and-Run-Technik
Inhaltsverzeichnis:
Mocha Manakin, von dem angenommen wird, dass es Verbindungen zu Interlock-Ransomware Operationen hat, wurde dabei beobachtet, wie es die Paste-and-Run- Phishing -Technik seit mindestens Januar 2025 für den initialen Zugriff verwendet. Gegner setzen ein individuelles NodeJS-Backdoor ein, genannt NodeInitRAT, das Persistenz, Aufklärung, Befehlsausführung und Payload-Bereitstellung über HTTP ermöglicht, sowie andere offensive Operationen, die potenziell zu Ransomware-Angriffen führen können.
Erkennung von Mocha Manakin Paste-and-Run-Angriffen
Cybersecurity-Experten haben lange verfolgt, wie böswillige Akteure PowerShell nutzen, um Backdoors zu installieren, schädliche Skripte auszuführen und offensive Ziele innerhalb der Infrastruktur der Organisation zu verfolgen. Der anhaltende Kampf zwischen Angreifern, Verteidigern und Sicherheitsanalysten ähnelt weiterhin einem Katz-und-Maus-Spiel. Die Flexibilität von PowerShell macht es für Systemadministratoren unverzichtbar, ist aber gleichermaßen für Angreifer attraktiv, was die Erkennungsbemühungen verkompliziert und es zu einer Priorität für Abwehrmaßnahmen macht. In ihrer neuesten Kampagne verwendet Mocha Manakin eine Paste-and-Run-Technik für den initialen Zugriff über PowerShell, um ein maßgeschneidertes NodeJS-Backdoor namens NodeInitRAT zu liefern, eine Bedrohung, die möglicherweise zu Ransomware eskalieren könnte, wodurch das Risiko für betroffene Organisationen erhöht wird.
Registrieren Sie sich für die SOC Prime Plattform um eine relevante Reihe von Sigma-Regeln für Mocha Manakin-Aktivitäten zu erhalten, unterstützt durch eine vollständige Produktsuite für KI-gestützte Erkennungstechnik, automatisierte Bedrohungssuche und fortgeschrittene Bedrohungserkennung. Klicken Sie auf die Erkennungen erkunden Schaltfläche und gelangen Sie zu den kuratierten SOC-Inhalten für proaktive Cyberabwehr.
Alle Erkennungsalgorithmen können in dutzenden branchenführenden SIEM-, EDR- und Data-Lake-Lösungen eingesetzt werden und sind mit MITRE ATT&CK® ausgerichtet, um die Bedrohungsforschung zu beschleunigen und Sicherheitsteams in ihren täglichen SOC-Operationen zu unterstützen. Jede Sigma-Regel ist mit relevanten Metadaten angereichert, wie zum Beispiel CTI Links, Angriffszeitleisten, Audit-Konfigurationen, Triage-Empfehlungen und weiteren hilfreichen Referenzen, um Verteidiger mit einem umfassenden Bedrohungskontext auszustatten.
Was ist Mocha Manakin: Neueste Angriffsanalyse
Forscher von Red Canary beobachten seit Januar 2025 Mocha Manakin-Aktivitäten als Teil eines größeren Sets von Gegner-Clustern, die Paste-and-Run für den initialen Zugang nutzen. Auch bekannt als Clickfix oder fakeCAPTCHA, täuscht diese offensive Methode Benutzer dazu, ein Skript auszuführen, das zusätzliche Payloads von einer Angreifer-gesteuerten Infrastruktur abruft. Dies kann Angreifern grünes Licht geben, diverse bösartige Muster zu verbreiten, wie LummaC2, HijackLoader, Vidarund andere.
Diese gegnerische Methode ist seit August 2024 konstant weit verbreitet und hat in ihrer Verwendung zugenommen. Ihre anhaltende Popularität ist größtenteils auf ihre Effektivität zurückzuführen, Benutzer dazu zu täuschen, schädliche Skripte auf ihren Geräten auszuführen. Die Vielseitigkeit der Paste-and-Run-Köder, die durch Phishing-E-Mails, bösartige Browser-Injektionen und mehr verteilt werden, ermöglicht es Angreifern, diese trügerischen Aufforderungen potenziellen Opfern zu präsentieren.
Allerdings hebt sich Mocha Manakin von anderen ähnlichen Kampagnen durch den Einsatz eines angepassten NodeJS-basierten Backdoors namens NodeInitRAT ab. Letzteres ermöglicht es Bedrohungsakteuren, persistierenden Zugriff zu halten und Aufklärungsoperationen durchzuführen, einschließlich der Aufzählung von Benutzerprinzipalen und der Sammlung domainspezifischer Informationen. NodeInitRAT kommuniziert über HTTP mit Angreifer-betriebenen Servern, die oft durch Cloudflare-Tunnel geleitet werden, um die Infrastruktur zu verschleiern. Es kann beliebige Befehle ausführen und zusätzliche Malware-Muster auf infizierte Hosts liefern.
Mocha Manakin teilt mehrere operationale Merkmale mit Interlock-Ransomware Kampagnen, einschließlich der Verwendung von Paste-and-Run-Techniken für den initialen Zugriff, des Einsatzes des NodeInitRAT-Backdoors als sekundäres Payload und der Wiederverwendung von Teilen derselben Angreifer-Infrastruktur. Bemerkenswerterweise hat die bösartige Aktivität das Potenzial, sich in Ransomware Vorfälle zu eskalieren, sollte sie nicht angegangen werden.
Paste-and-Run-Köder fallen typischerweise in zwei Kategorien: Zugriffsreparaturen-Köder, die Benutzer dazu täuschen, dass sie den Zugriff auf eine Datei oder Seite reparieren müssen, und gefälschte CAPTCHA-Köder, die Benutzer dazu auffordern, zu verifizieren, dass sie ein Mensch sind, um fortzufahren, wobei beide zur Ausführung von schädlichen Befehlen führen. Sobald ein Benutzer auf den Fix or Verifizieren Schaltfläche innerhalb des Köders klickt, wird ein verschleierter PowerShell-Befehl leise in ihre Zwischenablage kopiert. Der Köder weist sie dann an, die sogenannten „Verifizierungsschritte“ auszuführen, gefolgt von der Ausführung eines offensiven Skripts durch den Benutzer, wodurch der Kompromiss eingeleitet wird.
Nach erfolgreicher Ausführung führt der Paste-and-Run-PowerShell-Befehl von Mocha Manakin zum Herunterladen und Ausführen eines PowerShell-Loaders. Letzterer ruft ein ZIP-Archiv ab, das eine legitime node.exe -Binärdatei enthält und startet NodeInitRAT, indem er den Code der Malware über die Befehlszeile übergibt. Sobald aktiv, kann NodeInitRAT Persistenz über einen Windows-Registry-Run-Key herstellen, System- und Domainaufklärung durchführen, mit Angreifer-Servern über HTTP kommunizieren, beliebige Befehle ausführen, um Domänencontroller, Vertrauensstellungen, Administratoren und SPNs aufzulisten, zusätzliche EXE-, DLL- und JS-Payloads bereitstellen und Datenübertragungen mit XOR-Codierung und GZIP-Komprimierung verschleiern.
Die Verteidigung gegen Paste-and-Run-Angriffe stellt trotz der weitreichenden Bekanntheit der Taktik Herausforderungen dar. Maßnahmen zur Risikominderung umfassen das Deaktivieren von Windows-Hotkeys (z. B. Windows+R/X) über Gruppenrichtlinien, um die schnelle Skriptausführung zu blockieren, obwohl die Umsetzung aufgrund der Benutzerabhängigkeit eingeschränkt ist. Um NodeInitRAT entgegenzuwirken, sollten Sicherheitsteams alle verdächtigen node.exe Prozesse beenden, zugehörige Payloads wie DLLs löschen und Persistenzmechanismen entfernen. Auf Netzebene wird Verteidigern empfohlen, alle C2-Domänen und IPs, die mit NodeInitRAT verbunden sind, zu blockieren oder zu sinkholen sowie DNS- und Verkehrsdaten auf Kompromissindikatoren zu überwachen.
Da Mocha Manakin und NodeInitRAT gemeinsame Merkmale mit Interlock-Ransomware-Aktivitäten teilen, sind frühzeitige Erkennung und Reaktion entscheidend. Verlassen Sie sich auf das vollständige Produktsortiment von SOC Primes unterstützt von KI, Automatisierung und Live-Bedrohungsintelligenz, um Cyberangriffe in ihren frühesten Stadien zu identifizieren und Ihre Infrastruktur proaktiv zu schützen, sodass keine Chance ungenutzter Bedrohungen auf Ihrer Uhr bleibt.