中东国家的 Windows 驱动攻击事件

关键要点

• 自 2020 年 5 月起，沙特阿拉伯、卡塔尔、约旦和阿联酋等国的组织遭受名为 "WINTAPIX" 的恶意 Windows 内核驱动攻击。
• 攻击者身份暂时不明，但有报告指出此恶意软件可能与伊朗的威胁行为者有关。
• WinTapix.sys 被用作加载器，帮助注入嵌入式 shellcode，以执行 .NET 负载。
• 此类 .NET 恶意软件具备代理功能，还可以作为后门进行命令执行、文件下载和上传，以及数据在两个端点之间的传输。

自2020年5月以来，沙特阿拉伯、卡塔尔、约旦和阿拉伯联合酋长国的多个组织一直受到名为"WINTAPIX"的恶意 Windows内核驱动程序的攻击，具体信息由 报道。根据 Fortinet Fortiguard Labs的报告，这一攻击背后的攻击者身份仍然未知，但该恶意软件很可能与伊朗的威胁行为者有关。

研究人员指出，WinTapix.sys 作为一种加载器，使得嵌入式 shellcode 注入成为可能，从而执行 .NET 负载。这类 .NET恶意软件已显示出具备代理特性，除了作为后门外，还允许进行命令执行、文件上传和下载，以及在两个端点之间发送数据。研究人员表示：“由于伊朗的威胁行为者被认为会利用 Exchange 服务器来部署额外的恶意软件，因此，该驱动程序也可能与 Exchange攻击一起使用。值得一提的是，驱动程序的编译时间恰好与伊朗威胁行为者利用 Exchange 服务器漏洞的时间一致。”

相关信息

总结：WINTAPIX 恶意软件对中东多个国家的组织构成了重大威胁，专家建议需加强网络安全防护，尤其是在存在 Exchange 服务器时。

您可以访问以下链接了解更多关于此事件的信息：。