360追日团队披露索伦之眼针对中国的攻击

  2016年8月,赛门铁克披露了一个针对俄罗斯、中国等国家发动高级攻击的APT组织Sauron,又称Strider。随后,卡巴斯基也发布报告,针对该组织披露了更多详细的分析资料。经比对分析,确认该组织与360威胁情报中心下属的360追日团队独立截获的境外APT组织APT-C-16为同一组织。

  该组织主要针对中国、俄罗斯等多个国家进行网络间谍活动,其中以窃取敏感信息为主要目的,相关攻击活动最早可以追溯到2010年,至今仍然非常活跃。截至2016年8月上旬,360威胁情报中心共发现数十个受影响的国内用户,至少涉及多个单位机构。这些被攻击的机构主要分布在科研教育、军事和基础设施领域,重点行业包括水利、海洋等行业。事实上,中国的水利、海洋等行业机构一直是境外APT组织攻击的重点目标。由360威胁情报中心下属的360天眼实验室披露的首个境外APT组织海莲花,也是以海洋机构为主要攻击目标。

360追日团队披露索伦之眼针对中国的攻击

  该组织使用了多种特殊的攻击方式。例如,该组织会通过网络渗透控制目标内网系统中的域服务器或邮件服务器,之后再通过被控制的服务器进行横向移动,攻击内网系统中的其他设备和终端,攻击威力极强,但隐蔽性极高,发现难度极大。

  此外,该组织在攻击中还使用了大量复杂度极高的恶意程序代码,其复杂度可以与著名的方程式(Equation)媲美,相关功能模块达到数十种。截止目前,360威胁情报中心已累计捕获该组织恶意样本143个,其中121个恶意样本文件的HASH值尚未被其他安全机构或厂商披露。

  综合该组织的攻击方式、攻击效果、木马复杂度和攻击隐蔽性等方面的因素来看,该组织是360威胁情报中心自2015年以来先后截获并披露的6个APT组织(海莲花、洋葱狗、美人鱼、人面狮、摩诃草、索伦之眼)中,攻击能力和技术水准最高的一个。

  还有特别值得关注的是,该组织攻击目标与360追日团队截获的另外两个APT组织APT-C-06和APT-C-12的攻击目标有不少重合,这表明,国内的某些企业或组织机构已被多个境内外APT组织竞相瞄准攻击的目标。

  据悉,此次APT攻击,已能够通过360企业安全天眼系列产品进行检测与响应。

  一、概述

  索伦之眼组织(APT-C-16),又称Sauron、Strider。该组织主要针对中国、俄罗斯等多个国家进行网络间谍活动,其中以窃取敏感信息为主。相关攻击活动最早可以追溯到2010年,至今还非常活跃。

  在针对中国地区的攻击中,目前我们发现有数十个受影响用户,至少涉及多个单位机构。针对行业相关,该组织主要针对科研教育、军事等领域,进一步还特别关注基础建设领域。另外该组织攻击的目标中,有两个目标曾经分别被APT-C-06和APT-C-12组织攻击。

  索伦之眼组织攻击中使用了大量的恶意代码,截止到目前我们已捕获到143个,其中121个恶意样本文件的HASH值尚未被其他安全机构或厂商披露。

  该组织整个攻击过程中是高度隐蔽,相关恶意代码复杂度可以与方程式(Equation)媲美,其综合能力不弱于震网(Stuxnet)、火焰(Flame)等APT组织。该组织是我们今年披露的APT组织中综合能力最高的一个。

  关于索伦之眼组织目前已公开相关报告信息汇总:

360追日团队披露索伦之眼针对中国的攻击

  二、  中国受影响情况

  我们将统计索伦之眼组织从2010年开始至今的活跃情况。

  1.  同一目标被不同APT组织攻击

   索伦之眼组织攻击的目标中,其中有一个目标曾经被APT-C-06组织攻击,该目标在被APT-C-06组织攻击后3个月,遭受索伦之眼组织的攻击。

  另外一个被索伦之眼组织攻击的目标,曾经是被APT-C-12组织攻击。

  同一个目标被不同APT组织攻击,我们推测有以下可能性:首先该目标是高价值目标,不同APT组织都关注;另外一种可能性或许是APT组织之间有合作关系,或者从其他第三方渠道获得该目标相关信息或权限;最后有可能相关组织幕后原本就是同一个组织,而采用截然不同的TTPs发动的相关攻击行动。

  注:本报告中APT-C-06和APT-C-12组织是追日团队独家发现并尚未公开的APT组织,相关组织简介可以参考《2015年中国高级持续性威胁(APT)研究报告》[1]

  2. 行业分布:主要针对科研教育、军事领域

360追日团队披露索伦之眼针对中国的攻击

  图2主要针对行业分布

  索伦之眼组织主要关注科研教育和军事领域,其中值得我们注意的是该组织还特别关注基础建设相关领域,如:水利、海洋等。

  三、 组织能力不弱于震网、火焰

  索伦之眼组织的攻击体系庞大,相关恶意代码均为模块化,其复杂度可与方程式(Equation)等顶级APT媲美。以下是索伦之眼组织相关攻击手法高级和特别的地方:

  l  改造LUA引擎作为恶意代码运行平台。

  l  相关功能模块达到数十种。

  l  攻击中使用域服务器或邮件服务器进行横向移动。

  l  采用VFS(虚拟文件系统),相关功能模块均无实体文件。

  l  相关模块或通信协议采用了多种强加密算法,如RC6, RC5, RC4, AES。并使用单独密钥加密。

  l  针对不同的目标进行量身定制的攻击,有极强的针对性。

  据悉,此次APT攻击,已能够通过360企业安全天眼系列产品进行检测与响应。

发表评论