Détection des Attaques Mocha Manakin : Les Hackers Propagent un Cheval de Troie Personnalisé NodeJS Nommé NodeInitRAT en Utilisant la Technique Coller-et-Exécuter

Mocha Manakin, supposé avoir des liens avec le ransomware Interlock des opérations, a été observé utilisant le collage-exécution hameçonnage comme technique d’accès initial depuis au moins janvier 2025. Les adversaires déploient un cheval de Troie NodeJS sur mesure, baptisé NodeInitRAT, qui permet la persistance, la reconnaissance, l’exécution de commandes et la livraison de charge utile via HTTP, ainsi que d’autres opérations offensives pouvant potentiellement mener à des attaques par ransomware.

Détecter les attaques de Mocha Manakin par collage-exécution

Les experts en cybersécurité suivent depuis longtemps comment les acteurs malveillants exploitent PowerShell pour installer des chevaux de Troie, exécuter des scripts nuisibles et poursuivre des objectifs offensifs au sein de l’infrastructure de l’organisation. La lutte continue entre attaquants, défenseurs et analystes de sécurité continue de ressembler à un jeu du chat et de la souris. La flexibilité de PowerShell le rend indispensable pour les administrateurs système, mais tout aussi attractif pour les adversaires, compliquant ainsi les efforts de détection et en faisant une priorité pour les mesures défensives. Dans sa dernière campagne, Mocha Manakin utilise une technique d’accès initial par collage-exécution via PowerShell pour livrer un cheval de Troie NodeJS sur mesure appelé NodeInitRAT, une menace qui pourrait évoluer en ransomware, amplifiant le risque pour les organisations touchées.

Inscrivez-vous à la plateforme SOC Prime pour obtenir un ensemble pertinent de règles Sigma pour l’activité de Mocha Manakin, alimenté par une suite de produits complète pour l’ingénierie de détection alimentée par l’IA, la chasse automatisée aux menaces et la détection avancée des menaces. Cliquez sur le Explorer les détections et accédez à l’ensemble de contenu SOC sélectionné pour une défense cyber proactive. 

Explorer les détections

Tous les algorithmes de détection peuvent être utilisés sur des dizaines de solutions SIEM, EDR et Data Lake de pointe et sont alignés avec MITRE ATT&CK® pour accélérer la recherche des menaces et assister les équipes de sécurité dans leurs opérations quotidiennes de SOC. Chaque règle Sigma est enrichie de métadonnées pertinentes, telles que CTI des liens, des chronologies d’attaque, des configurations d’audit, des recommandations de triage et d’autres références utiles pour équiper les défenseurs d’un contexte de menace complet. 

Qu’est-ce que Mocha Manakin : Dernière analyse d’attaque

Les chercheurs de Red Canary ont été en train d’observer  l’activité de Mocha Manakin depuis janvier 2025 dans le cadre d’un ensemble plus large de groupes adverses, en exploitant le collage et l’exécution pour l’accès initial. Également connu sous le nom de Clickfix ou fauxCAPTCHA, cette méthode offensive trompe les utilisateurs pour qu’ils exécutent un script qui récupère des charges supplémentaires à partir d’une infrastructure contrôlée par les attaquants. Cela peut donner aux attaquants le feu vert pour déployer divers échantillons malveillants, tels que LummaC2, HijackLoader, Vidar, et d’autres.

Cette méthode adverse est restée constamment répandue et s’est étendue en usage depuis  août 2024. Sa popularité soutenue est en grande partie due à son efficacité à tromper les utilisateurs pour qu’ils exécutent des scripts nocifs sur leurs appareils. La polyvalence des leurres par collage-exécution, distribués par e-mails d’hameçonnage, injections de navigateur malveillantes, et plus, permet aux adversaires de présenter ces invites trompeuses aux victimes potentielles.

Cependant, Mocha Manakin se distingue des autres campagnes similaires par son déploiement d’un cheval de Troie de porte dérobée basé sur NodeJS personnalisé appelé NodeInitRAT. Ce dernier permet aux acteurs de la menace de maintenir un accès persistant et de mener des opérations de reconnaissance, y compris l’énumération des principaux utilisateurs et la collecte d’informations spécifiques au domaine. NodeInitRAT communique via HTTP avec des serveurs opérés par des attaquants, souvent relayés à travers des tunnels Cloudflare pour masquer l’infrastructure. Il peut exécuter des commandes arbitraires et livrer des échantillons de logiciels malveillants supplémentaires aux hôtes infectés.

Mocha Manakin partage plusieurs caractéristiques opérationnelles avec les campagnes de ransomware Interlock , y compris l’utilisation de techniques de collage-exécution pour l’accès initial, le déploiement de la porte dérobée NodeInitRAT comme charge utile secondaire, et la réutilisation de portions de la même infrastructure d’attaquant. Notamment, si elle est laissée sans réponse, l’activité malveillante a le potentiel de s’aggraver en incidents de ransomware .

Les leurres par collage-exécution se divisent généralement en deux catégories : les leurres de réparation d’accès, qui trompent les utilisateurs en leur faisant croire qu’ils doivent réparer l’accès à un fichier ou un site, et les leurres de faux CAPTCHA, qui incitent les utilisateurs à vérifier qu’ils sont humains pour continuer, tous deux conduisant à l’exécution de commandes malveillantes. Une fois qu’un utilisateur clique sur le Fix or Vérifier bouton dans le leurre, une commande PowerShell obfusquée est silencieusement copiée dans leur presse-papiers. Le leurre les instruit ensuite de suivre les étapes de “vérification”, après quoi l’utilisateur exécute un script offensif et initie la compromission.

Une fois l’exécution réussie, la commande PowerShell de collage-exécution de Mocha Manakin entraîne le téléchargement et l’exécution d’un chargeur PowerShell. Ce dernier récupère une archive ZIP contenant un exécutable node.exe légitime et lance NodeInitRAT en passant le code du logiciel malveillant via la ligne de commande. Une fois actif, NodeInitRAT peut établir sa persistance via une clé de registre Windows, effectuer une reconnaissance système et de domaine, communiquer avec les serveurs des attaquants via HTTP, exécuter des commandes arbitraires pour énumérer les contrôleurs de domaine, trusts, admins et SPNs, déployer des charges EXE, DLL et JS supplémentaires, et obfusquer les transferts de données en utilisant le codage XOR et la compression GZIP.

Se défendre contre les attaques de collage-exécution pose des défis malgré que la tactique soit bien connue. Les atténuations incluent la désactivation des raccourcis Windows (par exemple, Windows+R/X) via la stratégie de groupe pour bloquer l’exécution rapide des scripts, bien que l’adoption soit limitée en raison de la dépendance des utilisateurs. Pour contrer NodeInitRAT, les équipes de sécurité devraient terminer tout exécutable node.exe processus suspect, supprimer les charges utiles associées comme les DLL, et supprimer les mécanismes de persistance. Au niveau du réseau, les défenseurs recommandent de bloquer ou de rendre inefficaces tout domaine et IP C2 lié à NodeInitRAT, ainsi que de surveiller les journaux DNS et de trafic pour des indicateurs de compromission.

Étant donné que Mocha Manakin et NodeInitRAT partagent des caractéristiques clés avec l’activité du ransomware Interlock, la détection et la réponse précoces sont critiques. Fiez-vous à la suite complète de produits SOC Primes soutenue par l’IA, l’automatisation et le renseignement sur les menaces en direct pour identifier les cyberattaques à leurs premiers stades et protéger proactivement votre infrastructure, ne laissant aucune chance aux menaces émergentes de passer inaperçues sous votre surveillance.