360追日团队披露索伦之眼针对中国的攻击

2016年8月，赛门铁克披露了一个针对俄罗斯、中国等国家发动高级攻击的APT组织Sauron，又称Strider。随后，卡巴斯基也发布报告，针对该组织披露了更多详细的分析资料。经比对分析，确认该组织与360威胁情报中心下属的360追日团队独立截获的境外APT组织APT-C-16为同一组织。

该组织主要针对中国、俄罗斯等多个国家进行网络间谍活动，其中以窃取敏感信息为主要目的，相关攻击活动最早可以追溯到2010年，至今仍然非常活跃。截至2016年8月上旬，360威胁情报中心共发现数十个受影响的国内用户，至少涉及多个单位机构。这些被攻击的机构主要分布在科研教育、军事和基础设施领域，重点行业包括水利、海洋等行业。事实上，中国的水利、海洋等行业机构一直是境外APT组织攻击的重点目标。由360威胁情报中心下属的360天眼实验室披露的首个境外APT组织海莲花，也是以海洋机构为主要攻击目标。

该组织使用了多种特殊的攻击方式。例如，该组织会通过网络渗透控制目标内网系统中的域服务器或邮件服务器，之后再通过被控制的服务器进行横向移动，攻击内网系统中的其他设备和终端，攻击威力极强，但隐蔽性极高，发现难度极大。

此外，该组织在攻击中还使用了大量复杂度极高的恶意程序代码，其复杂度可以与著名的方程式（Equation）媲美，相关功能模块达到数十种。截止目前，360威胁情报中心已累计捕获该组织恶意样本143个，其中121个恶意样本文件的HASH值尚未被其他安全机构或厂商披露。

综合该组织的攻击方式、攻击效果、木马复杂度和攻击隐蔽性等方面的因素来看，该组织是360威胁情报中心自2015年以来先后截获并披露的6个APT组织（海莲花、洋葱狗、美人鱼、人面狮、摩诃草、索伦之眼）中，攻击能力和技术水准最高的一个。

还有特别值得关注的是，该组织攻击目标与360追日团队截获的另外两个APT组织APT-C-06和APT-C-12的攻击目标有不少重合，这表明，国内的某些企业或组织机构已被多个境内外APT组织竞相瞄准攻击的目标。

据悉，此次APT攻击，已能够通过360企业安全天眼系列产品进行检测与响应。可访问 b.360.cn 了解详情获取。