APT组织“Mofang”

仲钨酸铵(Ammonium paratungstate, APT)跟组织有什么关系?非也,此APT其实指的原子探针层析技术(atom probe tomography, APT)。该技术可以确认原子种类并直观地重构出其空间位置,相对真实地显示材料中不同元素原子的三维空间分布,成为目前空间分辨率最高的分析测试手段。

自2013年以来,各大媒体和安全公司不断爆出与中国有关的黑客组织和网络攻击活动,其中最传奇的四个APT要数:
曼迪昂特揭露的APT1;
卡巴斯基公司曝光的“Icefog”;
赛门铁克公司曝光的“隐匿山猫”;
纽约时报公布的APT12。

而近日,安全公司Fox-IT又曝光一中国APT组织——Mofang

Mofang

Mofang名称由来

“Mofang”一词源于中文动词“模仿”(Mófa ̌ng),之所以称为“模仿”是因为该组织作案手法的突出特征就是——模仿,模仿目标企业的基础设施。Fox-IT称该组织极有可能来自中国,甚至可能是政府支持的组织。

Mofang组织究竟是谁?

根据下列因素,Fox-IT称Mofang组织极有可能属于中国政府支持的网络间谍组织:

支持这一假设最有力的证据是,迄今为止,Mofang组织所攻击的目标及采取的行动都是针对与中国利益直接相关的重要地缘政治事件和投资机会等。

其中最明显的是针对缅甸政府和关键基础设施部分的系统性间谍活动,具体表现为:
与中国国有企业同时竞争投资机会的都成为攻击目标;
对中国的投资项目起决定作用的政府机构和公司都成为了目标;

除此之外,还有4点显著的证据说明该组织来自中国:
1.  Mofang组织使用的stager代码级与其他中国间谍组织使用的stager 有非常多类似之处;另一个引人注意的地方是,Mofang组织用于劫持防病毒产品的恶意软件-ShimRat,也曾发现被其他中国组织在多起间谍活动中使用。
2.  被用于初始攻击的所有文件都包含原数据,这表明它们是在WPS Office中创建的。而众所周知,WPS Office也被称为金山Office,是足以媲美Microsoft Office的中国产品。
3.  简体中文被设置为恶意软件样本内各种源代码字符的形式。
4.  ShimRat恶意软件的C2通信协议的早期版本中使用了两个非常特殊的词作为请求和响应关键字:Yuok和Yerr。虽然该词具体释义不明,可能是广东话“郁 佢”的近似发音,意为“beat him 或是kill him”。如果这是真的话,就意味着该恶意软件的开发者至少懂一些粤语知识。Yuok 和Yerr在2013年已经停止使用,并被ataD 或Data代替。