Mocha Manakin и NodeInitRAT: новая угроза с ClickFix и PowerShell
Источник: redcanary.com
Mocha Manakin и угроза NodeInitRAT: что нужно знать специалистам по кибербезопасности
В начале 2025 года началось отслеживание деятельности хакерской группы Mocha Manakin, которая применяет сложные методы для проникновения в корпоративные сети. Особое внимание заслуживает их использование техники ClickFix, а также собственного бэкдора NodeInitRAT, разработанного на Node.js. Этот инструмент обеспечивает злоумышленникам устойчивый доступ и эффективные возможности разведки внутри взломанных систем.
Метод получения доступа: ClickFix
Метод ClickFix подразумевает обман пользователей с целью заставить их выполнить вредоносный скрипт PowerShell. После запуска скрипт загружает дополнительный вредоносный код из инфраструктуры, контролируемой злоумышленниками. Среди применяемых ими вредоносных компонентов — известные инструменты LummaC2, HijackLoader и Vidar.
Этот метод особенно эффективен, так как:
- использует поведение пользователей и вводящие в заблуждение шаги проверки;
- заставляет запускать PowerShell-команды, которые считаются допустимыми;
- фактически загружает ZIP-архив с исполняемым файлом Node.js, что облегчает обход обнаружения.
NodeInitRAT — пользовательский Node.js бэкдор
Особенностью активности Mocha Manakin является использование собственного RAT — NodeInitRAT. Этот бэкдор обладает следующими характеристиками:
- работает на основе Node.js;
- обеспечивает сохранение постоянства через записи реестра Windows;
- проводит системную разведку и собирает информацию о контроллерах домена, доверенных доменах и службах;
- осуществляет коммуникацию с командными серверами через HTTP с tunnel Cloudflare, что позволяет скрывать трафик;
- использует схемы кодирования XOR и сжатия GZIP для передачи данных;
- выполняет произвольные команды и развёртывает дополнительные вредоносные программы.
Потенциальные риски и прогнозы
На момент мая 2025 года зафиксированные атаки Mocha Manakin не привели к внедрению программ-вымогателей. Однако эксперты выражают умеренную ожидание, что длительная активность группы может в перспективе привести к более серьёзным инцидентам, включая применение программ-вымогателей. Это связано с пересечением тактик Mocha Manakin и известных операций Interlock ransomware.
Рекомендации для специалистов по безопасности
Для минимизации угрозы, связанной с Mocha Manakin и NodeInitRAT, рекомендуется внедрять комплексные меры защиты:
- Отключение горячих клавиш Windows, которые используются для методов вставки и запуска вредоносных скриптов;
- Повышение осведомлённости пользователей для снижения рисков запуска вредоносных команд PowerShell;
- Активный мониторинг процессов node.exe, особенно при попытках создания ключей автозапуска в реестре;
- При обнаружении NodeInitRAT — немедленное завершение node.exe процессов и удаление связанных файлов;
- Блокировка сетевых коммуникаций RAT, включая домены, используемые для командного управления;
- Введение правил брандмауэра для предотвращения связи с подозрительными серверами;
- Особое внимание к мониторингу трафика, проходящего через легитимные сервисы, такие как Cloudflare, чтобы выявлять аномальные запросы.
Вывод
Деятельность Mocha Manakin демонстрирует, насколько современные злоумышленники совершенствуют методы обхода защитных систем, сочетая социальную инженерию с технически сложными инструментами. ClickFix и NodeInitRAT — яркий пример синергии этих подходов, требующий от специалистов по кибербезопасности адаптации методик обнаружения и реагирования.
Важно помнить: постоянное обучение пользователей и проактивный мониторинг систем — ключевые компоненты в борьбе с подобными угрозами.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
