中国国家网络与信息安全信息通报中心发现一批境外恶意网址和恶意IP,境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联,网络攻击类型包括建立僵尸网络、挖矿木马、远程控制、后门利用等,对中国国内联网单位和互联网用户构成重大威胁,部分活动已涉嫌刑事犯罪。相关恶意网址和恶意IP归属地主要涉及:美国、法国、荷兰、瑞士等。主要情况如下:
一、恶意地址信息
(一)恶意地址:mo.t1linux.com
关联IP地址:216.152.18.8
归属地:美国/伊利诺伊州/芝加哥
威胁类型:挖矿木马
病毒家族:lucifer
描述:这是一种跨平台、支持多种架构、DDoS与挖矿功能混合的恶意程序,主要借助IoT设备漏洞如Dasan GPON光纤路由器越权和远程命令执行漏洞CVE-2018-10561等进行传播。其包含下载、执行等常见的远程命令和控制功能,能够对指定目标发起DDoS攻击,并借助XMRig开源程序实现门罗币挖取。
(二)恶意地址:pool.dudiito.dev
关联IP地址:5.78.130.39
归属地:美国/俄勒冈州/希尔斯伯勒
威胁类型:挖矿木马
病毒家族:monero
描述:这是一种可在Windows、Linux、MacOS、Android等多个平台运行的开源门罗币挖矿木马,主要通过网络下载方式传播,利用感染主机进行挖矿牟利。
(三)恶意地址:ddos.howardwang2312.com
关联IP地址:91.216.169.28
归属地:美国/加利福尼亚州/东洛杉矶
威胁类型:僵尸网络
病毒家族:moobot
描述:这是一种Mirai僵尸网络的变种,常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等进行入侵,攻击者在成功入侵设备后将下载MooBot的二进制文件并执行,进而组建僵尸网络并可能发起DDoS(分布式拒绝服务)攻击。
(四)恶意地址:9cpanel.hackcrack.io
关联IP地址:147.124.205.158
归属地:美国/俄勒冈州/本德
威胁类型:后门
病毒家族:NjRAT
描述:该恶意地址关联到NjRAT病毒家族样本,部分样本程序的MD5值为
32b78ad1c0d9d1a0f3761dc7f8bed912。该网络后门是一种由 C#编写的远程访问木马,具备屏幕监控、键盘记录、密码窃取、文件管理(上传、下载、删除、重命名文件)、进程管理(启动或终止进程)、远程激活摄像头、交互式 Shell(远程命令执行)、访问特定 URL 及其它多种恶意控制功能,通常通过移动存储介质感染、网络钓鱼邮件或恶意链接进行传播,用于非法监控、数据窃取和远程控制受害者计算机。
(五)恶意地址:fidapeste2.duckdns.org
关联IP地址:192.169.69.26
归属地:美国/华盛顿州/西雅图
威胁类型:后门
病毒家族:NjRAT
描述:该恶意地址关联到NjRAT病毒家族样本,部分样本程序的MD5值为
b5cbf7365e0b43b84497b60f105564f2。该网络后门是一种由 C#编写的远程访问木马,具备屏幕监控、键盘记录、密码窃取、文件管理(上传、下载、删除、重命名文件)、进程管理(启动或终止进程)、远程激活摄像头、交互式 Shell(远程命令执行)、访问特定 URL 及其它多种恶意控制功能,通常通过移动存储介质感染、网络钓鱼邮件或恶意链接进行传播,用于非法监控、数据窃取和远程控制受害者计算机。
(六)恶意地址:banthis.su
关联IP地址:185.142.53.6
归属地:法国/巴黎
威胁类型:僵尸网络
病毒家族:catddos
描述:Catddos病毒家族主要通过IoT设备的N-Day漏洞进行传播,已公开样本包括CVE-2023-46604、CVE-2021-22205等,该恶意地址是相关病毒家族近期有效活跃的回连地址。
(七)恶意地址:62.210.28.199
归属地:法国/巴黎
威胁类型:远程控制
病毒家族:Meterpreter
描述:该恶意地址关联到Meterpreter病毒家族样本,部分样本程序的MD5值为
91a77e0d2d4b9bb98b15c78bc4084115。Meterpreter通常被用于在渗透测试和漏洞利用过程中执行攻击操作,常见的攻击传播方式包括漏洞攻击、鱼叉钓鱼等。
(八)恶意地址:seyfhg.work.gd
关联IP地址:146.19.188.249
归属地:荷兰/北荷兰省/阿姆斯特丹
威胁类型:僵尸网络
病毒家族:moobot
描述:这是一种Mirai僵尸网络的变种,常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等进行入侵,攻击者在成功入侵设备后将下载MooBot的二进制文件并执行,进而组建僵尸网络并可能发起DDoS(分布式拒绝服务)攻击。
(九)恶意地址:501799.prohoster.biz
关联IP地址:185.212.130.11
归属地:荷兰/北荷兰省/阿姆斯特丹
威胁类型:后门
病毒家族:DCRat
描述:该恶意地址关联到多个DcRat病毒家族样本,部分样本程序MD5值为
eba23ee4fa3441dd8972973ac7665007。该网络后门是一种远程访问木马,最早于2018年发布,能够窃取用户隐私信息(系统信息、账号信息等),根据远程指令执行shell命令、截图、记录键盘、窃取cookie、数据上传、操纵剪贴版、删除目录、设置壁纸、发起DDoS攻击等多种功能。
(十)恶意地址:176.96.131.55
归属地:瑞士
威胁类型:后门
病毒家族:Quasar
描述:该恶意地址关联到Quasar病毒家族样本,部分样本程序MD5值为
a6de2fc13d573539a75889378af7abc0。这是一种基于.NET Framework的远程管理木马,提供文件管理、进程管理、远程桌面、远程shell、上传下载、获取系统信息、重启关机、键盘记录、窃取密码、注册表编辑等功能,常被攻击者用于信息窃取和远程控制受害者主机。
二、排查方法
(一)详细查看分析浏览器记录以及网络设备中近期流量和DNS请求记录,查看是否有以上恶意地址连接记录,如有条件可提取源IP、设备信息、连接时间等信息进行深入分析。
(二)在本单位应用系统中部署网络流量检测设备进行流量数据分析,追踪与上述网络和IP发起通信的设备网上活动痕迹。
(三)如果能够成功定位到遭受攻击的联网设备,可主动对这些设备进行勘验取证,进而组织技术分析。
三、处置建议
(一)对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕,重点关注其中来源未知或不可信的情况,不要轻易信任或打开相关文件。
(二)及时在威胁情报产品或网络出口防护设备中更新规则,坚决拦截以上恶意网址和恶意IP的访问。
(三)向有关部门及时报告,配合开展现场调查和技术溯源。
来源:国家网络安全通报中心