Chrysalis Backdoor:你需要知道的資訊——以及如何利用 Progress Flowmon 威脅簡報讓你保持領先

最近分析出來的威脅Chrysalis,是一款複雜的後門程式,與中國的APT組織Lotus Blossom有關。這款惡意程式採用了進階的逃避技術,包括大量的混淆、API雜湊、動態DNS解析、自訂加密以及巧妙的C2通訊,這些都偽裝成合法的流量。一旦啟動,Chrysalis可執行各種大規模的惡意行為,如系統偵查、數據盜竊、命令執行、檔案傳輸、互動式shell存取、過程操控,甚至自我移除。在幾個案例中,感染的系統還顯示出Metasploit和Cobalt Strike有效載荷的鏈接交付,進一步增加了隱蔽性和程式碼保護層。

攻擊是如何發生的

攻擊者利用Notepad++ 軟體發行基礎設施作為供應鏈妥協的一部分,將惡意更新文件傳送給毫無警覺的使用者。這款惡意程式利用DLL側載,在重新命名的合法可執行檔旁邊放置被篡改的DLL,以獲得執行和持久性。根本原因在於對軟體更新的驗證不足,例如缺少或不完整的程式碼簽名及完整性檢查——這些弱點使得攻擊可以靜默地長期妥協,而不會觸發標準的防禦措施。

透過威脅簡報提供的檢測 – 具可操作性的緩解建議

這份Chrysalis報告是通過我們的威脅簡報(TB)功能提供的。該功能於Progress Flowmon ADS 12.5版本中引入,威脅簡報結合了:

  • AI生成的威脅情報:我們的系統接收全球威脅信號,並將其合成為清晰且結構化的見解。
  • 安全專家的策劃:每份簡報都由分析師審核和精煉,以確保準確性、相關性及可操作性。
  • 自動化檢測:威脅簡報允許從簡報發布的瞬間開始,自動檢測您環境中相關活動。這意味著關於Chrysalis的指標和行為會立即被Flowmon ADS檢測引擎識別。
  • 可操作的緩解建議:這些以行動為導向的建議旨在支援更快的調查與修復,減少安全團隊的工作負擔,並提高反應效率。

其好處很簡單:您花更少的時間研究,更多的時間有效應對。

透過回溯分析檢查過去的曝光

自威脅簡報發布之時,自動檢測就已經可以用於即時識別Chrysalis相關活動。

此外,您可以使用簡報中的妥協指標(IoCs)對您的歷史遙測數據進行回溯分析。這可以讓您快速判斷您的環境在簡報存在之前是否已經受到影響。

擁有歷史曝光的證據在合規與審核的角度上尤其有價值:它提供了一條可驗證的痕跡,顯示受影響系統是否——以及何時——受到影響,幫助組織展示已盡的努力、支持事件報告需求,並清晰且透明地記錄其回應姿態。

您想在您的環境中試試威脅簡報功能嗎?申請免費試用。

文章來源: Chrysalis Backdoor: What You Need to Know — and How Progress Flowmon Threat Briefing Helps You Stay Ahead

You cannot copy content of this page