Chiến dịch APT/Malware: Mocha Manakin
Chiến dịch Mocha Manakin đại diện cho một mối đe dọa an ninh mạng mới được xác định, bắt đầu được theo dõi từ tháng 1 năm 2025 bởi các chuyên gia bảo mật. Chiến dịch này nổi bật với việc sử dụng một chiến thuật kỹ thuật xã hội tinh vi được gọi là “paste and run” (hay còn biết đến với tên gọi Clickfix hoặc fakeCAPTCHA). Kỹ thuật này được thiết kế để lừa người dùng thực thi các lệnh PowerShell độc hại trên hệ thống của họ. Điểm đặc biệt của phương pháp này là khả năng vượt qua các biện pháp kiểm soát an ninh thông thường bằng cách thuyết phục nạn nhân tự tay dán và chạy các lệnh đã bị che giấu, dưới vỏ bọc của việc khắc phục sự cố truy cập hoặc xác minh danh tính người dùng.
Các Kỹ thuật và Chiến thuật (TTPs) theo MITRE ATT&CK
Truy cập Ban đầu (Initial Access) và Thực thi (Execution)
Kỹ thuật Paste and Run là trọng tâm của giai đoạn truy cập ban đầu trong chiến dịch Mocha Manakin. Kỹ thuật này đòi hỏi sự tương tác trực tiếp của người dùng với các nút “Fix” hoặc “Verify” giả mạo trên các trang web hoặc tài liệu lừa đảo. Khi người dùng nhấp vào các nút này, một lệnh PowerShell đã được làm mờ (obfuscated) sẽ tự động được sao chép vào khay nhớ tạm (clipboard) của hệ thống. Sau đó, nạn nhân được hướng dẫn dán lệnh này vào hộp thoại “Run” của Windows và thực thi nó.
Các hình thức lừa đảo phổ biến trong chiến dịch này bao gồm:
- Các hướng dẫn “khắc phục” quyền truy cập vào các tài liệu quan trọng, trang web, hoặc quá trình cài đặt/cập nhật phần mềm. Mục đích là tạo ra cảm giác cấp bách và hợp pháp cho yêu cầu thực thi lệnh.
- Các bước xác minh kiểu CAPTCHA giả mạo, yêu cầu người dùng tự tay thực hiện mã độc để “chứng minh” họ không phải là bot. Điều này lợi dụng sự quen thuộc của người dùng với các quy trình xác minh hợp pháp để che giấu hành vi độc hại.
Việc thực thi lệnh PowerShell đã bị làm mờ là bước quan trọng, cho phép tải xuống các tải trọng độc hại tiếp theo từ các máy chủ điều khiển và kiểm soát (C2) do đối tượng tấn công kiểm soát. Quá trình này diễn ra một cách âm thầm, thường không có dấu hiệu cảnh báo rõ ràng cho người dùng thông thường.
Gia đình Mã độc: NodeInitRAT
Một trong những tải trọng chính được phân phối thông qua chuỗi lây nhiễm Mocha Manakin là NodeInitRAT, một backdoor được phát triển tùy chỉnh dựa trên nền tảng NodeJS. Mã độc này được gửi đến hệ thống nạn nhân dưới dạng một tệp ZIP đã nén, thường được lưu trữ tại một vị trí tạm thời phổ biến, dễ bỏ qua như:
C:\Users\<user>\AppData\Local\Temp\NodeInitRAT cung cấp cho kẻ tấn công khả năng truy cập từ xa toàn diện vào hệ thống bị lây nhiễm. Điều này có thể dẫn đến một loạt các hoạt động độc hại, bao gồm nhưng không giới hạn ở việc thu thập dữ liệu nhạy cảm, cài đặt thêm các công cụ độc hại, duy trì sự hiện diện dai dẳng trên hệ thống, và thậm chí là triển khai các biến thể ransomware nhằm mục đích tống tiền.
Chi tiết Kỹ thuật và Lệnh
Các lệnh PowerShell “paste-and-run” đã cho thấy sự phát triển liên tục theo thời gian, với nhiều phiên bản được quan sát từ tháng 8 năm 2024 đến tháng 1-4 năm 2025. Sự thay đổi này cho thấy sự nỗ lực liên tục của các tác nhân đe dọa nhằm cải thiện khả năng ẩn mình và hiệu quả của chúng.
Các chỉ số điển hình trong các script được thực thi bao gồm việc sử dụng các cmdlet (lệnh ghép) sau:
- `Invoke-Expression`: Cmdlet này được sử dụng để thực thi các chuỗi lệnh hoặc script từ một biểu thức. Trong ngữ cảnh của tấn công, nó cho phép kẻ tấn công thực thi mã độc hại được tải về hoặc giải mã ngay lập tức mà không cần lưu vào đĩa.
- `Invoke-RestMethod`: Cmdlet này được sử dụng để gửi các yêu cầu HTTP/HTTPS đến một tài nguyên web và xử lý phản hồi. Kẻ tấn công lợi dụng nó để tải xuống các tải trọng độc hại từ các máy chủ C2 hoặc để gửi dữ liệu về cho kẻ tấn công.
Sự kết hợp của hai cmdlet này cho phép các tác nhân đe dọa tải xuống và thực thi các tải trọng từ xa một cách âm thầm, làm cho việc phát hiện trở nên khó khăn hơn đối với các công cụ bảo mật dựa trên chữ ký truyền thống.
Cơ sở hạ tầng và Cơ chế phân phối
Các đối tượng tấn công lưu trữ các tải trọng độc hại trên các tên miền mà chúng kiểm soát. Điều này nhấn mạnh tầm quan trọng của việc giám sát và chặn các tên miền độc hại đã biết để làm gián đoạn chuỗi tấn công và ngăn chặn giao tiếp của mã độc. Nếu các tên miền này bị chặn ở cấp độ mạng, mã độc NodeInitRAT sẽ không thể liên lạc với máy chủ C2 và tải về các lệnh hoặc tải trọng bổ sung.
Các vector phân phối chính cho chiến dịch Mocha Manakin bao gồm các chiến dịch lừa đảo (phishing campaigns) và các kỹ thuật tiêm mã vào trình duyệt web (web browser injects). Trong các trường hợp này, nạn nhân được trình bày với các hướng dẫn CAPTCHA hoặc hướng dẫn khắc phục sự cố giả mạo, dẫn dắt họ qua các bước thực thi thủ công mã độc.
Khuyến nghị Phát hiện và Giảm thiểu
Để bảo vệ hệ thống khỏi các mối đe dọa như Mocha Manakin, các tổ chức nên thực hiện các biện pháp sau:
- Giám sát hoạt động PowerShell đáng ngờ: Tập trung vào việc phát hiện các lệnh PowerShell sử dụng cmdlet như `Invoke-RestMethod` và `Invoke-Expression`, đặc biệt khi chúng được chạy trong các ngữ cảnh không điển hình hoặc bởi các tài khoản người dùng không có đặc quyền. Việc triển khai các giải pháp EDR (Endpoint Detection and Response) và SIEM (Security Information and Event Management) có thể giúp theo dõi và cảnh báo về các hoạt động này.
- Triển khai chặn tên miền độc hại ở cấp độ mạng: Sử dụng các tường lửa (firewalls), hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS), và các giải pháp DNS filtering để chặn truy cập đến các tên miền độc hại đã biết có liên quan đến cơ sở hạ tầng C2 của NodeInitRAT. Việc cập nhật thường xuyên các danh sách chặn là rất quan trọng để đối phó với sự thay đổi của cơ sở hạ tầng kẻ tấn công.
- Đào tạo người dùng: Nâng cao nhận thức của người dùng về các kỹ thuật kỹ thuật xã hội, đặc biệt là các hình thức lừa đảo “paste and run” hoặc “fake CAPTCHA”. Huấn luyện người dùng về các dấu hiệu cảnh báo của các email lừa đảo, các trang web giả mạo và yêu cầu thực thi mã không mong muốn.
- Thực thi chính sách bảo mật nghiêm ngặt: Hạn chế quyền thực thi PowerShell đối với người dùng thông thường nếu không cần thiết, hoặc triển khai các chính sách Constrained Language Mode để giới hạn các cmdlet có thể chạy.
Bối cảnh bổ sung: Hoạt động của Tác nhân đe dọa liên quan
Trong khi không trực tiếp liên quan đến các hoạt động của Mocha Manakin nhưng lại xảy ra đồng thời, một chiến dịch khác đáng chú ý đã được ghi nhận liên quan đến các tin tặc Bắc Triều Tiên. Nhóm này đã sử dụng mã độc PylangGhost nhắm mục tiêu vào các chuyên gia tiền điện tử thông qua các vụ lừa đảo việc làm giả mạo. Mã độc PylangGhost là một trojan dựa trên Python, có khả năng đánh cắp thông tin đăng nhập từ hơn 80 tiện ích mở rộng trình duyệt, bao gồm các trình quản lý mật khẩu như MetaMask và NordPass. Mã độc này sử dụng mã hóa RC4 cho các giao tiếp của nó. Mặc dù đây là một chiến dịch riêng biệt, nó làm nổi bật sự đa dạng và tinh vi của các mối đe dọa đang diễn ra trong không gian mạng.
Tóm tắt các IOCs / Chỉ số xâm nhập chính
Việc nhận diện và theo dõi các chỉ số xâm nhập (IOCs) là cực kỳ quan trọng đối với các trung tâm điều hành an ninh (SOC) và các nhóm tình báo mối đe dọa (TIP) để phát hiện và phản ứng kịp thời với chiến dịch Mocha Manakin.
Đường dẫn Tệp:
C:\Users\<user>\AppData\Local\Temp\<random>.zipĐây là vị trí điển hình nơi tệp ZIP chứa NodeInitRAT được lưu sau khi tải xuống.
Mẫu lệnh PowerShell:
# Các ví dụ liên quan đến mã bị làm mờ sử dụng kết hợp Invoke-RestMethod + Invoke-Expression, # được sao chép qua clipboard trong các bước tương tác "paste-and-run".Các biến thể lệnh này cần được giám sát chặt chẽ trong nhật ký hệ thống.
Từ khóa TTPs:
- Paste and run / Clickfix / FakeCAPTCHA / Fix button / Verify button
- Obfuscated PowerShell command copied to clipboard -> User pastes into Run dialog -> Execution occurs
- NodeJS backdoor delivery via ZIP archive download
