Rilevamento degli Attacchi Mocha Manakin: Gli Hacker Diffondono un Backdoor NodeJS Personalizzato Chiamato NodeInitRAT Usando la Tecnica Paste-and-Run
Indice:
Mocha Manakin, ritenuto avere legami con Interlock ransomware operazioni, è stato osservato utilizzare la tecnica del copia e incolla phishing per l’accesso iniziale almeno da gennaio 2025. Gli avversari distribuiscono un backdoor NodeJS personalizzato, denominato NodeInitRAT, che consente persistenza, ricognizione, esecuzione di comandi e consegna di payload via HTTP, insieme ad altre operazioni offensive che possono potenzialmente portare ad attacchi ransomware.
Rileva gli attacchi Mocha Manakin copia e incolla
Gli esperti di cybersecurity da tempo seguono come gli attori malevoli sfruttano PowerShell per installare backdoor, eseguire script dannosi e perseguire obiettivi offensivi all’interno dell’infrastruttura dell’organizzazione. La lotta continua tra attaccanti, difensori e analisti di sicurezza continua a somigliare a un gioco del gatto e del topo. La flessibilità di PowerShell lo rende indispensabile per gli amministratori di sistema, ma altrettanto attraente per gli avversari, complicando gli sforzi di rilevamento e rendendolo una priorità per le misure difensive. Nella sua ultima campagna, Mocha Manakin utilizza una tecnica di accesso iniziale copia e incolla tramite PowerShell per consegnare un backdoor NodeJS su misura chiamato NodeInitRAT, una minaccia che potrebbe evolversi in ransomware, amplificando il rischio per le organizzazioni colpite.
Registrati alla piattaforma SOC Prime per ottenere un set rilevante di regole Sigma per l’attività Mocha Manakin, supportato da un prodotto completo per l’ingegneria del rilevamento potenziata dall’AI, la caccia automatizzata alle minacce e il rilevamento avanzato delle minacce. Fai clic sul pulsante Esplora i rilevamenti e accedi al set curato di contenuti SOC per una difesa informatica proattiva.
Tutti gli algoritmi di rilevamento possono essere utilizzati su dozzine di soluzioni SIEM, EDR e Data Lake leader nel settore e sono allineati con MITRE ATT&CK® per accelerare la ricerca sulle minacce e assistere i team di sicurezza nelle loro operazioni quotidiane SOC. Ogni regola Sigma è arricchita con metadati rilevanti, come collegamenti, cronologie degli attacchi, configurazioni di audit, raccomandazioni di triage e altri riferimenti utili per dotare i difensori di un contesto completo sulle minacce. CTI links, attack timelines, audit configurations, triage recommendations, and more helpful references to equip defenders with comprehensive threat context.
Cos’è Mocha Manakin: Ultima analisi degli attacchi
I ricercatori di Red Canary stanno osservando l’attività di Mocha Manakin da gennaio 2025 come parte di un più ampio insieme di cluster di avversari, sfruttando la tecnica del copia e incolla per l’accesso iniziale. Conosciuto anche come Clickfix o fakeCAPTCHA, questo metodo offensivo inganna gli utenti inducendoli a eseguire uno script che recupera payload aggiuntivi da un’infrastruttura controllata dagli attaccanti. Questo consente agli attaccanti di distribuire vari campioni malevoli, come LummaC2, HijackLoader, Vidar, e altri.
Questo metodo avversario è rimasto costantemente prevalente e si è espanso nell’uso da agosto 2024. La sua popolarità sostenuta è dovuta in gran parte alla sua efficacia nell’ingannare gli utenti inducendoli a eseguire script dannosi sui loro dispositivi. La versatilità delle esche copia e incolla, distribuite tramite email di phishing, iniezioni malevoli nel browser e altro, consente agli avversari di presentare questi inganni a potenziali vittime.
Tuttavia, Mocha Manakin si distingue da altre campagne simili per la sua distribuzione di un backdoor personalizzato basato su NodeJS denominato NodeInitRAT. Quest’ultimo consente agli attori delle minacce di mantenere un accesso persistente e condurre operazioni di ricognizione, inclusa la enumerazione dei principali utenti e la raccolta di informazioni specifiche del dominio. NodeInitRAT comunica via HTTP con server gestiti dagli attaccanti, spesso instradati attraverso tunnel Cloudflare per mascherare l’infrastruttura. Può eseguire comandi arbitrari e consegnare campioni di malware aggiuntivi agli host infetti.
Mocha Manakin condivide diverse caratteristiche operative con le campagne di ransomware Interlock , compreso l’uso di tecniche di copia e incolla per l’accesso iniziale, la distribuzione del backdoor NodeInitRAT come payload secondario e il riutilizzo di porzioni della stessa infrastruttura degli attaccanti. Notoriamente, se non affrontata, l’attività malevola ha il potenziale per sfociare in incidenti di ransomware .
Le esche copia e incolla tipicamente rientrano in due categorie: esche di ripristino accesso, che ingannano gli utenti facendogli credere che debbano riparare l’accesso a un file o sito, e esche di fake CAPTCHA, che spingono gli utenti a verificare di essere umani per procedere, entrambe portando all’esecuzione di comandi malevoli. Una volta che un utente fa clic sul Fix or bottone Verifica dentro l’esca, un comando PowerShell offuscato viene silenziosamente copiato nella loro clipboard. L’esca istruisce quindi a seguire i cosiddetti ‘passi di verifica’, seguiti dall’utente che esegue uno script offensivo e avvia la compromissione.
Dopo l’esecuzione con successo, il comando PowerShell copia e incolla di Mocha Manakin porta al download ed esecuzione di un loader PowerShell. Quest’ultimo recupera un archivio ZIP contenente un binary node.exe legittimo e avvia NodeInitRAT passando il codice del malware via linea di comando. Una volta attivo, NodeInitRAT può stabilire persistenza tramite una chiave di esecuzione nel Registro di Windows, condurre ricognizione di sistema e dominio, comunicare con i server degli attaccanti su HTTP, eseguire comandi arbitrari per enumerare controller di dominio, trust, amministratori e SPN, distribuire payload EXE, DLL e JS aggiuntivi, e offuscare trasferimenti di dati utilizzando la codifica XOR e la compressione GZIP.
Difendersi dagli attacchi copia e incolla presenta sfide nonostante la tattica sia ben nota. Le mitigazioni includono la disabilitazione delle scorciatoie Windows (es. Windows+R/X) tramite Group Policy per bloccare l’esecuzione rapida di script, anche se l’adozione è limitata a causa della dipendenza degli utenti. Per contrastare NodeInitRAT, i team di sicurezza dovrebbero terminare qualsiasi binary node.exe processo sospetto, eliminare i payload associati come DLL e rimuovere i meccanismi di persistenza. A livello di rete, i difensori raccomandano di bloccare o deviare (sinkhole) qualsiasi dominio e IP C2 associato a NodeInitRAT, oltre a monitorare i log DNS e del traffico per indicatori di compromissione.
Dato che Mocha Manakin e NodeInitRAT condividono caratteristiche chiave con l’attività di ransomware Interlock, la rilevazione e risposta precoce sono fondamentali. Affidati alla suite completa di prodotti SOC Primes supportata da AI, automazione e intel live sulle minacce per identificare gli attacchi informatici nelle loro fasi iniziali e proteggere proattivamente la tua infrastruttura, non lasciando alcuna possibilità alle minacce emergenti di passare inosservate sotto la tua vigilanza.