Mocha Manakin攻撃の検出：ハッカーが『Paste-and-Run』技術を使用してNodeInitRATと名付けたカスタムNodeJSバックドアを拡散

Mocha Manakinは、モカ マナキンとみられている インターロック ランサムウェア の作戦行動に関連し、貼り付け＆実行の フィッシング 技術を少なくとも2025年1月以来、初期アクセスのために使用してきました。攻撃者はNodeInitRATと呼ばれるカスタムNodeJSバックドアを展開し、永続性、偵察、コマンドの実行、HTTP経由のペイロードの配信、そしてランサムウェア攻撃に繋がる可能性のある他の攻撃活動を可能にします。

Mocha Manakinの貼り付け＆実行攻撃を検出

サイバーセキュリティの専門家は、長い間 悪意ある行為者がPowerShellを利用してバックドアをインストールし、有害なスクリプトを実行し、組織のインフラ内で攻撃的な目的を追う様子を追跡してきました。攻撃者、防御者、セキュリティアナリスト間の絶え間ない攻防は、あたかも猫と鼠のゲームに似ています。PowerShellの柔軟性はシステム管理者にとって欠かせないものですが、同時に敵対者にとっても魅力的であり、検出の努力が複雑になり、防御手段の優先事項となっています。Mocha Manakinは、PowerShellを介して貼り付け＆実行による初期アクセス技術を使って、特化されたNodeJSバックドアのNodeInitRATを配信し、ランサムウェアにエスカレートする可能性がある脅威をもたらし、影響を受ける組織に対するリスクを増大させます。

SOC Primeプラットフォームに登録する ためには、AIを活用した検出エンジニアリング、自動化された脅威ハンティング、そして高度な脅威検出のための完全な製品スイートにより支援された、Mocha Manakinアクティビティ用の関連するSigmaルールセットを取得します。 検出内容を探索 ボタンをクリックして、サイバー防御のための厳選されたSOCコンテンツにアクセスしてください。

検出内容を探索

すべての検出アルゴリズムは、業界をリードするSIEM、EDR、およびデータレイクソリューションで使用可能で、 MITRE ATT&CK® に基づいており、脅威調査を加速させるとともに、セキュリティチームが日常的なSOC業務で彼らをサポートします。各Sigmaルールには、関連するメタデータが充実しており、リンク、攻撃のタイムライン、監査設定、トリアージの推奨事項、その他の参考資料が含まれ、防御者に包括的な脅威コンテキストを提供します。 CTI links, attack timelines, audit configurations, triage recommendations, and more helpful references to equip defenders with comprehensive threat context. 

Mocha Manakin：最新の攻撃分析

Red Canaryの研究者は 2025年1月以来、広範な攻撃クラスタ群の一部としてMocha Manakinの活動を観察しており、貼り付け＆実行による初期アクセスを利用しています。ClickfixまたはfakeCAPTCHAとしても知られるこの攻撃手法は、ユーザーが悪意のあるスクリプトを実行して攻撃者の管理下にあるインフラから追加のペイロードを取得するように錯覚させます。これにより攻撃者は、LummaC2、HijackLoader、 Vidarなど多様な悪意のあるサンプルを展開するための自由を得ます。

この攻撃方法は2024年8月以降、一貫して普及し、その効果的な欺瞞性が人気を支えています。フィッシングメールや、悪意のあるブラウザ注入を通して配布される貼り付け＆実行による誘導は、潜在的な被害者に対してこれらの欺瞞的なプロンプトを提示することを可能にします。

しかし、Mocha Manakinは、NodeJSベースのバックドアであるNodeInitRATをカスタマイズして展開する点で、他の類似のキャンペーンとは一線を画しています。後者は、攻撃者が持続的なアクセスを維持し、ユーザー情報を列挙し、ドメイン固有の情報を収集する偵察活動を行うことを可能にします。NodeInitRATは、攻撃者の操作するサーバーとHTTP経由で通信し、しばしばインフラ構造を覆い隠すためにCloudflareトンネルを経由します。任意のコマンドを実行し、感染したホストに追加のマルウェアサンプルを配信することができます。

Mocha Manakin は交差する運用特性をインターロック ランサムウェア キャンペーンと共有し、貼り付け＆実行技術を初期アクセスとして使用し、NodeInitRATバックドアを2段階目のペイロードとして展開し、同一攻撃者インフラの一部を再使用します。特に、悪意のある活動が放置されると、 ランサムウェア 事件へとエスカレートする可能性があります。

貼り付け＆実行の誘導は典型的に2つのカテゴリに分類されます：アクセス修復の誘導で、ファイルやサイトへのアクセスを修正する必要があると思い込ませるものと、フェイクCAPTCHAの誘導で、人間であることを確認するための検証を行わせるものです。どちらも悪意のあるコマンドの実行に繋がります。ユーザーがこの Fix or 検証 ボタンをクリックすると、ぼやかされたPowerShellコマンドが静かにクリップボードにコピーされます。それから誘導によって「検証ステップ」に従うよう指示され、ユーザーが攻撃的なスクリプトを実行し、侵害が始まります。

成功した実行後、Mocha Manakinの貼り付け＆実行のPowerShellコマンドが、PowerShellローダーのダウンロードと実行を導きます。後者は、 node.exe バイナリを含むZIPアーカイブを取得し、マルウェアのコードをコマンド ライン経由で渡すことでNodeInitRATを起動します。一度アクティブになると、NodeInitRATはWindowsレジストリの実行キーを通じた永続性を確立し、システムおよびドメインの偵察を行い、攻撃者のサーバーとHTTP経由で通信し、ドメイン コントローラー、信頼、管理者、およびSPNを列挙するために任意のコマンドを実行し、追加のEXE、DLL、およびJSペイロードを展開し、XORエンコードとGZIP圧縮を使用してデータ転送を難読化します。

貼り付け＆実行攻撃に対する防御は、この戦術がよく知られているにも関わらず困難です。緩和策には、グループ ポリシーを通じてWindowsホットキー（例：Windows+R/X）を無効にして迅速なスクリプト実行をブロックしますが、ユーザーの依存性のため採用は限定されています。NodeInitRATに対抗するには、セキュリティチームは疑わしい node.exe プロセスを終了し、関連するペイロード（例えばDLL）を削除し、永続化メカニズムを取り除くべきです。ネットワークレベルでは、防御者はNodeInitRATに関連するC2ドメインおよびIPをブロックまたはシンクホールすること、DNSおよびトラフィックログを指標から妥協の兆候を監視することを推奨します。

Mocha ManakinとNodeInitRATがインターロックランサムウェアの活動と重要な特性を共有することを考慮すると、早期検出と対応が重要です。信頼できる SOC Primeの完全な製品スイート がAI、自動化、ライブ脅威インテルによって支援され、最も早い段階でサイバー攻撃を特定し、インフラを積極的に守り、台頭する脅威が監視されることなく潜むのを許さないでください。