모카 마나킨 공격 탐지: 해커들이 Paste-and-Run 기법을 사용하여 NodeInitRAT이라는 맞춤형 NodeJS 백도어를 확산시키다
목차:
Mocha Manakin은 관계가 있다고 여겨지는 Interlock 랜섬웨어 작전을 수행하고 있으며, 붙여넣고 실행하는 피싱 기술을 초기 침투에 사용하고 있습니다. 적대자는 지속성, 정찰, 명령 실행, 페이로드 전달을 HTTP를 통해 가능하게 하는 NodeInitRAT라는 맞춤형 NodeJS 백도어를 배포하며, 이는 잠재적으로 랜섬웨어 공격으로 이어질 수 있는 공격 작업을 포함합니다.
Mocha Manakin 붙여넣기 및 실행 공격 감지
사이버 보안 전문가들은 오랫동안 악의적인 행위자들이 PowerShell을 활용하여 백도어를 설치하고, 해로운 스크립트를 실행하며, 조직 인프라 내에서 공격 목표를 추구하는 방법을 추적해 왔습니다. 공격자와 수비자, 보안 분석가 간의 끊임없는 싸움은 계속해서 고양이와 쥐의 게임을 연상시킵니다. PowerShell의 유연성은 시스템 관리자에게 필수적이지만 공격자에게는 매력적이기도 하여 감지 노력을 복잡하게 하고 방어 조치의 우선순위로 만듭니다. 최신 캠페인에서 Mocha Manakin은 PowerShell을 통한 붙여넣기 및 실행 초기 접근 기술을 사용하여 NodeInitRAT라는 맞춤형 NodeJS 백도어를 제공하는데, 이는 랜섬웨어로 악화될 수 있어 영향을 받는 조직의 위험을 증가시킵니다.
SOC Prime 플랫폼에 등록하세요 Mocha Manakin 활동을 위한 관련 Sigma 규칙 세트를 받고, AI 기반 탐지 엔지니어링, 자동화된 위협 헌팅 및 고급 위협 감지를 위한 완전한 제품군의 지원을 받으세요. 탐지 탐색 버튼을 클릭하고 예방적 사이버 방어를 위한 SOC 콘텐츠의 큐레이션된 세트를 확인하세요.
모든 탐지 알고리즘은 수십 개의 업계 최고의 SIEM, EDR 및 데이터 레이크 솔루션에서 사용 가능하며 MITRE ATT&CK® 에 맞춰져 있어 위협 연구를 가속화하고 보안 팀의 일상적인 SOC 작업을 지원합니다. 각 Sigma 규칙은 링크, 공격 타임라인, 감사 구성, 분류 추천 및 방어자를 포괄적인 위협 맥락으로 무장시킬 수 있는 더 많은 유용한 참조와 같은 관련 메타데이터로 풍부해집니다. CTI links, attack timelines, audit configurations, triage recommendations, and more helpful references to equip defenders with comprehensive threat context.
Mocha Manakin이란 무엇인가: 최신 공격 분석
Red Canary 연구진은 2025년 1월부터 Mocha Manakin 활동을 광범위한 적대자 클러스터의 일부로서 관찰하고 있으며, 처음 접근을 위한 붙여넣기 및 실행을 활용하고 있습니다. Clickfix 또는 fakeCAPTCHA라고도 불리는 이 공격 방법은 사용자를 속여 추가 페이로드를 공격자 제어 인프라에서 가져오는 스크립트를 실행하게 합니다. 이를 통해 공격자는 LummaC2, HijackLoader, Vidar 등 다양한 악성 샘플을 배포할 수 있는 허가를 받습니다.
이 적대적 방법은 2024년 8월 이후로 지속적으로 널리 사용되었으며 사용에서 확장되었습니다. 사용자의 장치에 해로운 스크립트를 실행하도록 속이는 효과가 높아 지속적인 인기를 얻었습니다. 피싱 이메일, 악성 브라우저 주입 등을 통해 배포된 붙여넣기 및 실행 미끼의 다재다능함은 공격자가 잠재적 피해자에게 이러한 기만적인 명령을 제시할 수 있게 합니다.
하지만 Mocha Manakin은 NodeInitRAT이라는 맞춤형 NodeJS 기반 백도어 배포로 다른 유사 캠페인과 구별됩니다. 후자는 지속적인 접근을 유지하고 사용자 주요체를 나열하고 도메인 별 정보를 수집하는 정찰 작업을 수행하도록 허용합니다. NodeInitRAT는 HTTP를 통해 공격자 운영 서버와 통신하고, 종종 인프라를 숨기기 위해 Cloudflare 터널을 통해 중계됩니다. 이를 통해 임의의 명령을 실행하고 감염된 호스트에 추가 악성 소프트웨어 샘플을 전달할 수 있습니다.
Mocha Manakin 은 Interlock 랜섬웨어 캠페인과 여러 운영적 특성을 공유하며, paste-and-run 기술을 초기 접근을 위해 사용하고, NodeInitRAT 백도어를 보조 페이로드로 배포하고, 동일한 공격자 인프라의 일부를 재사용합니다. 특히 이 악성 활동을 방치하면 잠재적인 랜섬웨어 사건으로 확대될 가능성이 있습니다.
붙여넣기 및 실행 미끼는 일반적으로 두 가지 범주로 나뉩니다: 파일이나 사이트에 대한 접근을 수정해야 한다고 사용자를 속이는 접근 수리 미끼와, 진행하기 위해 인간임을 확인해야 한다고 프롬프트하면서 악성 명령을 실행하도록 유도하는 가짜 CAPTCHA 미끼입니다. 사용자가 미끼 내의 Fix or 확인 버튼을 클릭하면 난독화된 PowerShell 명령이 조용히 클립보드에 복사됩니다. 미끼는 사용자가 소위 “확인 단계”를 따라야 한다고 지시하고, 이를 통해 공격 스크립트를 실행하고 침해를 시작합니다.
성공적인 실행 후 Mocha Manakin의 붙여넣기 및 실행 PowerShell 명령은 PowerShell 로더의 다운로드 및 실행으로 이어집니다. 후자는 합법적인 node.exe 바이너리를 포함하는 ZIP 아카이브를 가져오고, 이를 통해 명령줄을 통한 악성코드의 코드를 전달하여 NodeInitRAT를 실행합니다. 활성화되면, NodeInitRAT는 Windows 레지스트리 실행 키를 통해 지속성을 확립할 수 있으며, 시스템 및 도메인 정찰을 수행하고, 공격자 서버와 HTTP를 통해 통신하며, 도메인 컨트롤러, 트러스트, 관리자 및 SPNs를 나열하기 위한 임의의 명령을 실행하고, 추가 EXE, DLL 및 JS 페이로드를 배포하며, XOR 인코딩 및 GZIP 압축을 사용하여 데이터 전송을 위장할 수 있습니다.
붙여넣기 및 실행 공격에 대한 방어는 이 전술이 잘 알려져 있음에도 불구하고 어려움을 겪습니다. 완화 조치에는 Windows 핫키(예: Windows+R/X) 사용 중지(스크립트 빠른 실행 차단)가 Group Policy를 통해 포함되지만, 사용자 의존성으로 인해 채택은 제한적입니다. NodeInitRAT를 차단하려면 보안 팀은 의심스러운 프로세스를 종료하고 관련 페이로드(예: DLL)를 삭제하며 지속성 메커니즘을 제거해야 합니다. 네트워크 수준에서는 NodeInitRAT와 관련된 C2 도메인 및 IP를 차단하거나 싱크홀링하고, DNS 및 트래픽 로그에서 타협 지표를 모니터링할 것을 권장합니다. node.exe processes, delete associated payloads like DLLs, and remove persistence mechanisms. At the network level, defenders recommend blocking or sinkholing any C2 domains and IPs tied to NodeInitRAT, as well as monitoring DNS and traffic logs for indicators of compromise.
Mocha Manakin과 NodeInitRAT가 Interlock 랜섬웨어 활동과 주요 특성을 공유하므로 조기 탐지 및 대응이 중요합니다. SOC Prime의 완전한 제품군 에 의존하여 AI, 자동화, 실시간 위협 인텔리전스로 사이버 공격을 초기 단계에서 식별하고 인프라를 선제적으로 보호하며, 귀하의 감시 아래에서 새로운 위협이 감지되지 않은 채 지나가는 일이 없도록 하십시오.