【APT组织情报】索伦之眼

【APT组织情报】索伦之眼

团伙概况

团伙名称索伦之眼
攻击者类型国家背景组织
技术能力
负责国家/地区美国
最早活动时间2010-01-01
影响行业科研教育、军事和基础设施领域,水利、海洋
别名Strider,Sauron,APT-C-16,ProjectSauron,索伦之眼
攻击方式复杂
攻击频率未知
影响国家/地区俄罗斯、中国、瑞典、比利时、伊朗和卢旺达
最近活动时间2016-08-18
常用语言英语

团伙描述

Strider由赛门铁克在2016年8月中的报告命名,该组织一直针对俄罗斯,中国,瑞典和比利时。使用Remsec的恶意软件进行攻击,并使用了lua语言编写的模块。至少中2011年10月开始活跃。 2015年9月,卡巴斯基实验室监测到来自政府的异常流量,最后归因到索伦之眼。

技战法

使用了强加密算法,如RC6、RC5、RC4、AES、Salsa20等。 ProjectSauron使用一个修改过的luascript引擎来实现核心平台及其插件。有超过50种不同的插件类型。

1.高度模块化的定制平台

2.无文件实体技术

3.定制化的 LUA 引擎

4.针对目标环境定制的内网横向移动

5.隔离网络数据窃取

6.高强度加密的通讯方式

历史报告

发现时间报告名称发布厂商
2016-08-18走近科学:“索伦之眼”深入追踪FreeBuf
2016-08-11360追日团队披露索伦之眼针对中国的攻击360集团
2016-08-08ProjectSauron: top level cyber-espionage platform covertly extracts encrypted government commsKaspersky
2016-08-07Strider: Cyberespionage group turns eye of Sauron on targetsSymantec

情报信息

文件hash情报

文件类型文件哈希值
MD50886ace08961e71e5a572698307efdee
MD50a0948d871ef5a3006c0ab2997ad330e
MD5113050c3e3140bf631d186d78d4b1dc0
MD5171f39bd2f79963b5ec2b588b42da034
MD51f316e14e773ca0f468d0d160b5d0307
MD5234e22d3b7bba6c0891de0a19b79d7ea
MD544879e5240fbe41c909c59abdcc678bc
MD5546a2ebb0100ebff6c150fae49b87187
MD558e770a9630e13129b4187cfcada76d0
MD565823a7f4c545cc64d7d478dd6866381
MD57001a747eed1b2da1c863b75500241f7
MD57c3eecfb5174ca5cb1e03b8bf4b06f19
MD5beb2cc1694d89354a062b04b27811099
MD5bf208df25db6ef67639765b2f0fc2c8c
MD558952e4ff65393aca5d839200a4958e5
MD5591db4412185b4d28e20d6a8f9e95314
MD5674facdab7138a5b5d9b0ff9bf199b04
MD5919e73b0bf091a4c7f41a4f9156f666e
MD5a7a5c1f0ad07a9452f27ca617a23e690
MD5027dbd573f1978e96503a06419253aa5
MD5039c09efafcf32b86e4e18340b3e978e
MD506525bd2c1cb88351d3333d5e6442ede
MD506c4a9f9f14aa2cf94dbe991f895da7c
MD506f448db3fae57a78b43cbccc5b7d820
MD57b28249954908b24b0cc31c90f35270
MD5095db44cd70662f592a8f454cb52fbdd
MD59d708d9e5cfbae3a3bec9eeb3a9af6e
MD5ae8a852b37bc177ac7efbbb80016c6f
MD50c4093c80235da682e0a249eda98787c
MD5d373b54be87e23799b42adbac6bfa2f
MD50d38fdbb226c9d372a7ce6e8e1df6477
MD50e6ee149aea08588425fcec424d0dd82
MD50eaa940c94acd48840582006f19f7cb3
MD51f6a03026758e2f084a1c7806d702aa
MD5128f5256232b50dd9947dcfde19f2b6c
MD512ba37106ac89ca47b529e3a3960c57e
MD5133ad8f7c87eee350c777e3d6281ce02
MD501ac1cd4064b44cdfa24bf4eb40290e7
MD50209541dead744715e359b6c6cb069a2
MD50c12e834187203fbb87d0286de903dab
MD50c4a971e028dc2ae91789e08b424a265
MD51511f3c455128042f1f6db0c3d13f1ab
MD517deb723a16856e72dd5c1ba0dae0cc7
MD5181c84e45abf1b03af0322f571848c2d
MD51d9d7d05ab7c68bdc257afb1c086fb88
MD51f6ba85c62d30a69208fe9fb69d601fa
MD51f7ddb6752461615ebf0d76bdcc6ab1a
MD52054d07ae841fcff6158c7ccf5f14bf2
MD5227ea8f8281b75c5cd5f10370997d801
MD52382a79f9764389acfb4cb4692aa044d
MD52a8785bf45f4f03c10cd929bb0685c2d
MD52e460fd574e4e4cce518f9bc8fc25547
MD52f49544325e80437b709c3f10e01cb2d
MD52f704cb6c080024624fc3267f9fdf30e
MD534284b62456995ca0001bc3ba6709a8a
MD540f751f2b22208433a1a363550c73c6b
MD544c2fa487a1c01f7839b4898cc54495e
MD546a676ab7f179e511e30dd2dc41bd388
MD54728a97e720c564f6e76d0e22c76bae5
MD5501fe625d15b91899cc9f29fdfc19c40
MD55373c62d99aff7135a26b2d38870d277
MD557c48b6f6cf410002503a670f1337a4b
MD55d41719eb355fdf06277140da14af03e
MD55ddd5294655e9eb3b9b2071dc2e503b1
MD56296851190e685498955a5b37d277582
MD563780a1690b922045625ead794696482
MD56b114168fb117bd870c28c5557f60efe
MD56ca97b89af29d7eff94a3a60fa7efe0a
MD56cd8311d11dc973e970237e10ed04ad7
MD571eb97ff9bf70ea8bb1157d54608f8bb
MD57261230a43a40bb29227a169c2c8e1be
MD572b03abb87f25e4d5a5c0e31877a3077
MD576db7e3af9be2dfaa491ec1142599075
MD57b6fdbd3839642d6ad7786182765d897
MD57b8a3bf6fd266593db96eddaa3fae6f9
MD5814ca3a31122d821cd1e582abf958e8f
MD585ea0d79ff015d0b1e09256a880a13ce
MD58d02e1eb86b7d1280446628f039c1964
MD5914c669dbaaa27041a0be44f88d9a6bd
MD591bb599cbba4fb1f72e30c09823e35f7
MD593c9c50ac339219ee442ec53d31c11a2
MD5951ebe1ee17f61cd2398d8bc0e00b099
MD59f81f59bc58452127884ce513865ed20
MD5a277f018c2bb7c0051e15a00e214bbf2
MD5a5588746a057f4b990e215b415d2d441
MD5ac8072dfda27f9ea068dcad5712dd893
MD5b6273b3d45f48e9531a65d0f44dfee13
MD5b6fe14091359399c4ea572ebf645d2c5
MD5b98227f8116133dc8060f2ada986631c
MD5bb6aec0cf17839a6bedfb9ddb05a0a6f
MD5c074710482023cd73da9f83438c3839f
MD5c0dfb68a5de80b3434b04b38a61dbb61
MD5c3f8f39009c583e2ea0abe2710316d2a
MD5c58a90accc1200a7f1e98f7f7aa1b1ae
MD5c8c30989a25c0b2918a5bb9fd6025a7a
MD5ca05d537b46d87ea700860573dd8a093
MD5cf6c049bd7cd9e04cc365b73f3f6098e
MD5d2065603ea3538d17b6ce276f64aa7a2
MD5e710f28d59aa529d6792ca6ff0ca1b34
MD5eb8d5f44924b4df2ce4a70305dc4bd59
MD5edb9e045b8dc7bb0b549bdf28e55f3b5
MD5f01dc49fce3a2ff22b18457b1bf098f8
MD5f0e0cbf1498dbf9b8321d11d21c49811
MD5f3b9c454b799e2fe6f09b6170c81ff5c
MD5f59813ac7e30a1b0630621e865e3538c
MD5f7434b5c52426041cc87aa7045f04ec7
MD5f936b1c068749fe37ed4a92c9b4cfab6
MD5fc77b80755f7189dee1bd74760e62a72
MD5fca102a0b39e2e3eddd0fe0a42807417
MD5fcd1a80575f503a5c4c05d4489d78ff9

域名/IP情报

类型IOC列表
域名www.myhomemusic.com
域名flowershop22.110mb.com
域名wildhorses.awardspace.info
域名360.officemice.com
域名ads.authorizeddns.org
域名appdate.elementfx.com
域名bikessport.com
域名banners.tgkvt.info
域名cache.mynetav.org
域名cn.appsoo.net
域名galaxy.yellowbowl.fr
域名tinycodesnippets.serveblog.net
域名update8080.servehxxp.com
域名up.360digit.com
域名video.online-rockstar.com
域名updates.qvt.me
域名wildhorses.awardspace.info
域名j.bikessport.com
域名csrv.rapidcomments.com
域名ww1.rapidcomments.com
域名00000h.omagsadoabtaa1yaeaahmabraaxaam.a.bikessport.com
域名flowershop22.110mb.com
域名rapidcomments.com
域名www.rapidcomments.com
域名www.bikessport.com
域名www.myhomemusic.com
域名00004h.abqqa3aaneag4adoaaxaacqabiaeqa.a.bikessport.com
域名csrv01.rapidcomments.com
域名a.bikessport.com
域名agc9221.bikessport.com
域名bikessport.com
域名dievinothek.net
域名chirotherapie.at
域名mbit-web.com
域名weingut-haider-malloth.at
域名mail.mbit-web.com

© 版权声明
THE END
喜欢就支持一下吧
点赞17 分享
评论 共2条

请登录后发表评论