境外黑客利用恶意IP攻击，安全类网站速查通报

1月20日，中新网发布消息称，据国家网络安全通报中心微信公众号所传，中国国家网络与信息安全信息通报中心借助支撑单位，发现了一批境外恶意网址以及恶意IP，境外黑客组织凭借这些网址和IP，持续针对中国以及其他国家发起网络攻击，这些恶意网址和IP均与特定木马程序或者木马程序控制端紧密关联，网络攻击类型涵盖建立僵尸网络、后门利用等安全类网站，对中国国内联网单位以及互联网用户构成重大威胁。有关系的恶意网址以及恶意IP归属地主要关联到：美国，加拿大，英国，德国，荷兰，乌克兰，巴西，越南。主要呈现的情况是这样的：

一、恶意地址信息

(一)恶意地址：telnet.icealeximino.live

关联IP地址：51.81.255.132

归属地：美国/俄勒冈州/波特兰

威胁类型：僵尸网络

病毒家族：V3G4Bot

这是一种僵尸网络，它针对Linux以及IoT设备，它属于Mirai僵尸网络的一个变体，它借助多个N day漏洞，它还借助弱口令暴破来进行传播，样本的敏感字符串资源经过XOR异或加密，它通过与C2服务器建立通信，它接收攻击者下发的指令，它用该指令对指定目标发起DDoS攻击，这造成大面积网络瘫痪，这导致网站或在线服务无法访问。

(二)恶意地址：nj5056ja.duckdns.org

关联IP地址：104.250.167.52

归属地：加拿大/魁北克/蒙特利尔

威胁类型：后门

病毒家族：NjRAT

描述：该后门是一种远程访问木马，它是用 C#编写的，它具备屏幕监控功能，它具备键盘记录功能，它具备密码窃取功能，它具备文件管理功能，这文件管理功能包括上传文件、下载文件、删除文件、重命名文件，它具备进程管理功能，此进程管理功能是启动或终止进程，它具备远程激活摄像头功能，它具备交互式 Shell 功能也就是远程命令执行功能，它具备访问特定 URL 功能，它还有其它多种恶意控制功能，它通常通过移动存储介质感染、网络钓鱼邮件或恶意链接进行传播，它被用于非法监控、数据窃取和远程控制受害者计算机。

(三)恶意地址：dinero26.duckdns.org

关联IP地址：192.159.99.171

归属地：英国/英格兰/伦敦

威胁类型：后门

病毒家族：RemCos

RemCos是一款远程管理工具哪，它于2016年被发布了。最新版本的RemCos具备执行多种恶意活动的能力，这其中涵盖了键盘记录，还包括截取屏幕截图以及窃取密码。攻击者能够借助受感染系统所拥有的后门访问权限，去收集敏感信息并且远程地控制系统。

(四)恶意地址：coomm.servebbs.net

关联IP地址：185.196.20.150

归属地：德国/巴伐利亚邦/纽伦堡

威胁类型：后门

病毒家族：AsyncRAT

有这样一种程序，它属于后门木马，是使用C#语言编写而成的，其具备的主要功能涵盖了屏幕监控安全类网站，还有键盘记录，能获取密码，有文件窃取功能，可实施进程管理操作，能开关摄像头，拥有交互式SHELL也可访问特定URL等，它主要借由移动介质、网络钓鱼等方式来传播，当前已经发现了多个与之关联的变种，其中部分变种主要是针对民生领域的联网系统的。

(五)恶意地址：sedef3.duckdns.org

关联IP地址：188.89.182.68

归属地：荷兰

威胁类型：后门

病毒家族：Xworm

有这样一种东西，它是经.NET编译而成的后门木马，运用了好些种持久性以及防御规避技术，会收集系统详细信息，还会发送到C&C服务器，并且接收指令，其具备的功能有键盘记录，有屏幕捕获，有自动更新，有自毁，有运行脚本，有勒索软件操作，有麦克风操作，有摄像头监控，会打开特定URL，会监控活跃的窗口，会进行进程管理，会进行剪切板管理，能执行远程shell，能发起DDos攻击，能获取地址位置，能锁定屏幕，能窃取密码，能安装Ngrok、HVNC，能隐藏RDP连接等。

(六)恶意地址：103.136.41.159

归属地：荷兰/南荷兰省/纳尔德韦克

威胁类型：僵尸网络

病毒家族：Mirai

此种Linux僵尸网络病毒，借助网络下载、利用漏洞、Telnet以及SSH暴力破解等途径扩散，于入侵成功之后，能够对目标网络系统发动分布式拒绝服务攻击。

(七)恶意地址：151.243.109.160

归属地：荷兰/北布拉班特省/艾恩德霍芬

威胁类型：僵尸网络

病毒家族：Gafgyt

这是一种物联网僵尸网络病毒，它基于因特网中继聊天(IRC)协议，主要借助漏洞利用，以及内置的用户名、密码字典，通过Telnet和SSH暴力破解等方式来扩散传播。它能够对网络设备展开扫描，会攻击网络摄像机、路由器等IoT设备，在攻击成功之后，会利用僵尸程序形成僵尸网络，进而对目标网络系统发起分布式拒绝服务(DDoS)攻击，这有可能造成大面积网络瘫痪。

(八)恶意地址：mrsus.ddns.net

关联IP地址：46.151.182.4

归属地：乌克兰

威胁类型：僵尸网络

病毒家族：CondiBot

这是一种僵尸网络，它利用TP-Link Archer AX21漏洞CVE - 2023 - 1389来传播，攻击者借着Telegram频道@zxcr9999去推广、销售Condi以及其他僵尸网络的DDoS服务和源代码，僵尸程序能够通过接收C2服务器下发的cmd指令，进而执行发起DDoS攻击、更新、终止程序等不同操作。康迪所支持的分布式拒绝服务攻击向量涵盖，攻击传输控制协议同步包，攻击传输控制协议确认包，攻击传输控制协议套接字，攻击传输控制协议线程，攻击传输控制协议绕过，攻击用户数据报协议普通模式，攻击用户数据报协议线程，攻击用户数据报协议智能模式。

(九)恶意地址：xerecanega.ddns.net

关联IP地址：186.192.123.40

归属地：巴西/戈亚斯州/戈亚内西亚

威胁类型：后门

病毒家族：NjRAT

描述：该后门是一种由 C#编写的远程访问木马，具备屏幕监控、键盘记录、密码窃取、文件管理(上传、下载、删除、重命名文件)、进程管理(启动或终止进程)、远程激活摄像头、交互式 Shell(远程命令执行)、访问特定 URL 及其它多种恶意控制功能，通常通过移动存储介质感染、网络钓鱼邮件或恶意链接进行传播，用于非法监控、数据窃取和远程控制受害者计算机。

(十)恶意地址：cvawrs.duckdns.org

关联IP地址：160.187.246.23

归属地：越南/清化省

威胁类型：僵尸网络

病毒家族：SoftBot

这是一种僵尸网络，它能够在多个平台上运行，这些平台包含x86平台和arm平台等，因为其bot模块的名称是softbot.{arch}，所以它被命名为SoftBot。该家族的样本一旦入侵成功 ，就会植入bot模块，以此来构建僵尸网络，它可以向特定的网络目标发起10种形式的分布式拒绝服务攻击，也就是DDoS攻击。除此之外，该样本运行以后，大多会输出字符串“im in deep sorrow”。

二、排查方法

(一)仔细去查看，认真分析浏览器的记录，还有网络设备里近期的流量以及 DNS 请求记录，瞧瞧是不是存在上述恶意地址的连接记录，要是有条件的话，能够提取源 IP、设备信息、连接时间等信息，进而展开深入的分析。

(二)于本单位的应用系统里，部署网络流量检测设备，用来开展流量数据分析钓鱼网，追踪那些与上述网址以及 IP 发起通信的设备，在网上的活动痕迹。

(三)要是可以成功地把遭受攻击的联网设备给定位出来，那么能够主动针对这些设备去开展勘验取证的工作。然后，在此基础上组织进行技术分析。

三、处置建议

(一)不论是经由社交平台接收的文件以及链接，还是从电子邮件渠道接收的文件以及链接，都要始终保持高度警惕，着重去关注那些来源未知或者不可信的情况，切不可轻易信任，更不要随意打开相关文件。

(二)尽快的，于作为威胁情报之提供物的产品，或者用于网络出口予以防护的设备之内，去将规则作出更新，果断决绝的，把针对上述恶意网址及恶意IP进行的访问予以阻拦。

(三)向公安机关及时报告，配合开展现场调查和技术溯源。