重点防范境外恶意网址和恶意IP（续二）

科技 2024-11-21 16:52 北京

中国国家网络与信息安全信息通报中心持续发现一批境外恶意网址和恶意IP，有多个具有某大国政府背景的境外黑客组织，利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、网络钓鱼、勒索病毒、窃取商业秘密和知识产权、侵犯公民个人信息等，对中国国内联网单位和互联网用户构成重大威胁，部分活动已涉嫌刑事犯罪。相关恶意网址和恶意IP归属地主要涉及：美国、德国、加拿大、新加坡、芬兰、保加利亚等。主要情况如下：

一、恶意地址信息

（一）恶意地址：209.141.42.202

归属地：美国/内华达州/拉斯维加斯

威胁类型：僵尸网络

病毒家族：gafgyt

描述：这是一种基于因特网中继聊天（IRC）协议的物联网僵尸网络病毒，主要通过漏洞利用和内置的用户名、密码字典进行Telnet和SSH暴力破解等方式进行扩散传播。可对网络设备进行扫描，攻击网络摄像机、路由器等IoT设备，攻击成功后，利用僵尸程序形成僵尸网络，对目标网络系统发起分布式拒绝服务（DDoS）攻击，可能造成大面积网络瘫痪。

（二）恶意地址：octopus1337.geek

关联IP地址：107.172.60.29

归属地：美国/纽约州/布法罗

威胁类型：僵尸网络

病毒家族：moobot

描述：这是一种Mirai僵尸网络的变种，常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等实施入侵，攻击成功后，受害设备将下载并执行MooBot的二进制文件，进而组建僵尸网络并可能发起DDoS(分布式拒绝服务)攻击。

（三）恶意地址：pruebadenuevonuevo202024202024.duckdns.org

关联IP地址：64.188.9.175

归属地：美国/加利福尼亚州/洛杉矶

威胁类型：后门

病毒家族：AsyncRAT

描述：该恶意地址关联多个Asyncrat病毒家族样本，部分样本的MD5值为3a7348be6baacfca9ce6e475b5a6984e。相关后门程序采用C#语言编写，主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式shell，以及访问特定URL等。这些病毒可通过移动存储介质、网络钓鱼邮件等方式进行传播，现已发现多个关联变种，部分变种主要针对中国境内民生领域的重要联网系统

（四）恶意地址：mixturehari.store

关联IP地址：172.67.129.11

归属地：美国/加利福尼亚州/旧金山

威胁类型：窃密木马

病毒家族：Lumma

描述：该恶意地址关联多个Lumma病毒家族样本，部分样本程序的MD5值为a9f56735038056c6fb51f7408d1e007c。Lumma是一种盗号木马即信息窃取恶意软件，主要用于窃取用户的敏感信息，包括登录凭据、财务信息和个人文件等。这种恶意软件通过网络钓鱼邮件、虚假软件下载链接等多种方式传播。

（五）恶意地址：dump.hduak.site

关联IP地址：158.220.114.75

归属地：德国/北莱茵－威斯特法伦州/杜塞尔多

威胁类型：僵尸网络

病毒家族：mirai

描述：这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散，入侵成功后可对目标网络系统发起分布式拒绝服务（DDoS）攻击。

（六）恶意地址：doddyfire.linkpc.net

关联IP地址：216.65.162.133

归属地：加拿大/新不伦瑞克省/伍德斯托克

威胁类型：后门

病毒家族：NjRAT

描述：该恶意地址关联到NjRAT病毒家族样本，部分样本程序的MD5值为07cc00b38182b987fa4cf53760d6732c。该网络后门是一种由 C#编写的远程访问木马，具备屏幕监控、键盘记录、密码窃取、文件管理（上传、下载、删除、重命名文件）、进程管理（启动或终止进程）、远程激活摄像头、交互式 Shell（远程命令执行）、访问特定 URL 及其它多种恶意控制功能，通常通过移动存储介质感染、网络钓鱼邮件或恶意链接进行传播，用于非法监控、数据窃取和远程控制受害者计算机。

（七）恶意地址：bueenotgay.duckdns.org

关联IP地址：217.15.161.176

归属地：新加坡

威胁类型：僵尸网络

病毒家族：moobot

（八）恶意地址：147.45.126.71

归属地：芬兰/新地区/赫尔辛基

威胁类型：后门

病毒家族：DcRat

描述：该恶意地址关联到多个DcRat病毒家族样本，部分样本程序MD5值为6195bc34ba803cfe39d32856f6dc9546。该网络后门是一种远程访问木马，最早于2018年发布，能够窃取用户隐私信息（系统信息、账号信息等），根据远程指令执行多种功能：shell命令、截图、记录键盘、窃取cookie、数据上传、操纵剪贴版、删除目录、设置壁纸、发起DDoS攻击等。

（九）恶意地址：ygo9u1fkwux.life

关联IP地址：37.27.203.12

归属地：芬兰/新地区/赫尔辛基

威胁类型：加载器

病毒家族：Bumblebee

描述：该恶意地址关联多个Bumblebee病毒家族样本，部分样本程序MD5值为c962d866683ba35349a00a70e9c759b4。Bumblebee是一种复杂的恶意软件家族，首次由Google威胁分析小组（TAG）在 2022 年 3 月披露。它主要作为一种加载器（Loader）使用，能够下载和执行其它恶意软件负载。Bumblebee通常通过钓鱼邮件传播，附件中常包含ISO镜像文件，内含用于执行恶意DLL文件的LNK文件。

（十）恶意地址：45.88.88.43

归属地：保加利亚

威胁类型：僵尸网络

病毒家族：catddos

描述：Catddos病毒家族主要通过IoT设备的N-Day漏洞进行传播，已公开样本包括CVE-2023-46604、CVE-2021-22205等，该恶意地址是相关病毒家族近期有效活跃的回连地址。

二、排查方法

（一）详细查看分析浏览器记录以及网络设备中近期流量和DNS请求记录，查看是否有以上恶意地址连接记录，如有条件可提取源IP、设备信息、连接时间等信息进行深入分析。

（二）在本单位应用系统中部署网络流量检测设备进行流量数据分析，追踪与上述网络和IP发起通信的设备网上活动痕迹。

（三）如果能够成功定位到遭受攻击的联网设备，可主动对这些设备进行勘验取证，进而组织技术分析。

三、处置建议

（一）对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕，重点关注其中来源未知或不可信的情况，不要轻易信任或打开相关文件。

（二）及时在威胁情报产品或网络出口防护设备中更新规则，坚决拦截以上恶意网址和恶意IP的访问。

（三）向有关部门及时报告，配合开展现场调查和技术溯源。

来源：国家网络安全通报中心

-END-

欢迎关注我们~

http://mp.weixin.qq.com/s?__biz=MjM5MzMwMDU5NQ==&mid=2649168897&idx=1&sn=46dd10931781afc0be1f2fbadfdf22eb

网络安全和信息化

《网络安全和信息化》杂志官方所属，网络安全人员与IT运维人员的专业管理类经验、知识、资料，帮助用户提高网络安全能力建设和IT基础设施运营水平，提升IT管理人员工作能力。

最新文章

提振行业信心共谋合作发展——IC China 2024圆满闭幕

四部门开展“清朗·网络平台算法典型问题治理”专项行动

国家数据局印发《可信数据空间发展行动计划（2024—2028年）》

预警！针对我国用户的“银狐”木马病毒出现新变种

《个人信息保护法》实施三周年：十大亮点赢群众叫好

重点防范境外恶意网址和恶意IP（续二）

《网络安全标准实践指南——粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》发布

《工业和信息化领域数据安全合规指引》发布

《中国互联网发展报告2024》和《世界互联网发展报告2024》蓝皮书发布

《全球数据跨境流动合作倡议》发布

2024年世界互联网大会“互联网之光”博览会在浙江乌镇开幕

加强网络安全运营：整合ATT&CK框架与关键要素

IC China 2024在京开幕

安全跟我学｜关注“两高一弱”，让黑客无“机”可乘

大模型可能导致规模越大边际效应递增

国家互联网信息办公室发布《移动互联网未成年人模式建设指南》

《关键信息基础设施商用密码使用管理规定（征求意见稿）》公开征求意见

网络安全专业建设的未来方向：跨界融合与协同创新

大咖云集！2024工业软件创新发展大会在株洲盛大举办

27款APP及SDK存在侵害用户权益行为被通报

安全跟我学｜权限、位置、口令、加密、行踪……个人隐私保护全攻略

国家计算机病毒应急处理中心监测发现13款违规移动应用

国家密码管理局发布《商用密码检测机构（商用密码应用安全性评估业务）目录》

国际刑警组织：网络犯罪浪潮席卷全球每39秒就发生一次黑客攻击

加快规范人工智能技术在劳动管理中的合理运用

中方主张加强网络安全治理、维护网络空间长治久安

大数据时代下的数据治理策略与实施路径研究

别忽视AI面试数据安全

医疗敏感数据隐私安全保护的研究

3项网络安全国家标准获批发布

量子计算机或将颠覆密码学

2024年44项网络安全国家标准项目已立项

《网络安全和信息化》杂志2024年第11期目录

助力区域创新发展系列活动｜“工业征途·安全守护”工业领域数据安全实践与创新论坛成功举办

研究认为生成式AI将产生大量电子垃圾

前三季度我国规上互联网企业实现利润总额同比增长4.8%

工信部印发《工业和信息化领域数据安全事件应急预案（试行）》

官宣了！IC China 2024将于11月18日在北京举行

11月1日起，13项网络安全国家标准开始实施

网络安全攻防演习中的监测发现方案研究

前三季度我国软件业务收入98281亿元，信息安全收入增长持续放缓

科学认识和有序推进数据资产化

Gartner发布2024年中国安全技术成熟度曲线

商用密码检测机构（商用密码应用安全性评估业务）资质申请通过技术评审的机构名单公示

中国将牵头制定抗量子攻击的通信网络安全协议设计指南

2024人工智能十大前沿技术趋势展望发布

全国数据标准化技术委员会获批成立一图读懂主要工作

以上门“免费升级宽带”为名偷装电诈设备，一男子被刑拘

小心！你的床头灯可能正在“偷听”！

《全民数字素养与技能发展水平调查报告（2024）》发布

分类

时事

民生

政务

教育

文化

科技

财富

体娱

健康

情感

旅行

百科

职场

楼市

企业

乐活

学术

汽车

时尚

创业

美食

幽默

美体

文摘

原创标签

时事社会财经军事教育体育科技汽车科学房产搞笑综艺明星音乐动漫游戏时尚健康旅游美食生活摄影宠物职场育儿情感小说曲艺文化历史三农文学娱乐电影视频图片新闻宗教电视剧纪录片广告创意壁纸头像心灵鸡汤星座命理教育培训艺术文化金融财经健康医疗美妆时尚餐饮美食母婴育儿社会新闻工业农业时事政治星座占卜幽默笑话独立短篇连载作品文化历史科技互联网

发布位置

广东北京山东江苏河南浙江山西福建河北上海四川陕西湖南安徽湖北内蒙古江西云南广西甘肃辽宁黑龙江贵州新疆重庆吉林天津海南青海宁夏西藏香港澳门台湾美国加拿大澳大利亚日本新加坡英国西班牙新西兰韩国泰国法国德国意大利缅甸菲律宾马来西亚越南荷兰柬埔寨俄罗斯巴西智利卢森堡芬兰瑞典比利时瑞士土耳其斐济挪威朝鲜尼日利亚阿根廷匈牙利爱尔兰印度老挝葡萄牙乌克兰印度尼西亚哈萨克斯坦塔吉克斯坦希腊南非蒙古奥地利肯尼亚加纳丹麦津巴布韦埃及坦桑尼亚捷克阿联酋安哥拉