中国网络间谍组织WIP19对通信企业和IT服务提供商的攻击

关键要点

• 中国高级持续威胁组织WIP19正对中东和亚洲的通信公司及IT服务提供商发起攻击。
• WIP19使用了多种恶意软件，包括SQLMaggie、ScreenCap以及凭据提取工具。
• 该组织的恶意软件使用了被盗的证书进行数字签名。
• 研究人员发现了WIP19与中文恶意软件作者WinEggDrop之间的关联。
• 有迹象表明，WIP19可能从韩国的DEEPSoft公司窃取了有效证书，进一步加强其恶意活动。

根据的报道，位于中东和亚洲的通信公司及IT服务提供商正遭受由中国的高级持续威胁组织WIP19发动的网络攻击。该组织利用了多种恶意软件家族，包括、ScreenCap以及凭据提取工具。根据SentinelOne的报告，这些恶意组件还使用了被盗的证书进行数字签名。

对该组织后门程序的调查使研究人员将其部分组件与中文恶意软件作者WinEggDrop关联了起来。

SentinelOne表示：“我们观察到的入侵事件涉及精准的目标，且攻击数量较少。特定用户的计算机被硬编码为恶意软件中的标识符，且恶意软件未被广泛传播。此外，针对中东和亚洲通信公司及IT服务提供商的目标选择，暗示了此次活动背后的动机与间谍活动相关。”

WIP19的恶意活动显示了其操作的精密性与针对性，表明该组织在进行信息收集方面的高超技巧。这些攻击不仅强调了网络安全的重要性，也提示企业需加强安全防护措施，以抵御潜在的间谍攻击。