国家网络安全通报中心发布新一批重点防范境外恶意网址和恶意IP

中国国家网络与信息安全信息报告中心通过依托单位发现多个境外恶意URL、恶意IP。境外黑客组织利用这些URL和IP不断对中国和其他国家发起网络攻击。这些恶意URL和IP与特定木马程序或木马程序控制终端密切相关。网络攻击类型包括建立僵尸网络、利用后门等，对我国国内网络单位和互联网用户构成重大威胁。相关恶意URL和恶意IP地点主要涉及：美国、德国、荷兰、拉脱维亚、土耳其、伊朗、韩国、巴西。主要情况如下：

1、恶意地址信息（1）恶意地址：station.myvnc.com 关联IP地址：97.106.23.197

家乡： 美国/佛罗里达州/布雷登顿

威胁类型：后门

病毒家族：纳米核心

描述：它是一种远程访问木马，用于间谍活动和远程系统控制。获得受感染主机访问权限的攻击者能够记录音频和视频、键盘日志、收集凭据和个人信息、操纵文件和注册表、下载和执行其他恶意软件有效负载等等。 Nanocore还支持可扩展的插件来实现各种恶意功能，例如加密货币挖掘、勒索软件攻击等。

（2）恶意地址：jaks.ddns.net 关联IP地址：134.209.173.227

家乡： 美国/新泽西州/克利夫顿

威胁类型：后门

病毒家族：AsyncRAT

描述：C#语言编写的后门木马。其主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、摄像头切换、交互式SHELL、访问特定URL等。主要通过移动媒体、网络钓鱼等方式传播。目前已发现多个相关变种，部分变种主要针对民生领域的网络系统。

（3）恶意地址：ilenudavous-monoxoxapal-semimihupution.info 关联IP地址：178.162.203.211

归属地： 德国/黑森/美因河畔法兰克福

威胁类型：僵尸网络

病毒家族：MooBot

描述：这是Mirai僵尸网络的变种，经常利用CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等各种物联网设备漏洞进行入侵。成功入侵设备后，攻击者会下载MooBot二进制文件并执行，从而形成僵尸网络，并可能发起DDoS（分布式拒绝服务）攻击。

（4）恶意地址：196.251.115.19 地点：荷兰/北荷兰/阿姆斯特丹

威胁类型：僵尸网络

病毒家族：Gafgyt

描述：这是一种基于互联网中继聊天（IRC）协议的物联网僵尸网络病毒。主要通过漏洞利用和内置用户名密码字典进行Telnet、SSH暴力破解进行传播。它可以扫描网络设备并攻击网络摄像机、路由器等物联网设备。攻击成功后，利用僵尸程序组成僵尸网络，对目标网络系统发起分布式拒绝服务（DDoS）攻击，可能造成大范围的网络瘫痪。

(5) 恶意地址：glad147.ddns.net 关联IP地址：185.214.10.22

归属地： 荷兰/北荷兰/阿姆斯特丹

威胁类型：后门

病毒家族：类星体

描述：一个基于.NET Framework的远程管理木马，提供文件管理、进程管理、远程桌面、远程shell、上传下载、获取系统信息、重启和关机、键盘记录、密码窃取、注册表编辑等功能。攻击者经常利用它来窃取信息并远程控制受害者主机。

（6）恶意地址：193.111.78.190 地点：土耳其/布尔萨省/布尔萨

威胁类型：僵尸网络

病毒家族：Gafgyt

描述：这是一种基于互联网中继聊天（IRC）协议的物联网僵尸网络病毒。主要通过漏洞利用和内置用户名密码字典进行Telnet、SSH暴力破解进行传播。它可以扫描网络设备并攻击网络摄像机、路由器等物联网设备。攻击成功后，利用僵尸程序组成僵尸网络，对目标网络系统发起分布式拒绝服务（DDoS）攻击，可能造成大范围的网络瘫痪。

（7）恶意地址：p.findmeatthe.top 关联IP地址：94.140.120.193

归属地： 拉脱维亚/里加市/里加

威胁类型：僵尸网络

病毒家族：Mirai

描述：这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、Telnet和SSH暴力破解进行传播。入侵成功后，可以对目标网络系统发起分布式拒绝服务（DDoS）攻击。

(8) 恶意地址：joker.proxywall.p-e.kr 关联IP地址：37.49.148.60

原产地：伊朗

威胁类型：僵尸网络

病毒家族：Mirai

描述：这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、Telnet和SSH暴力破解进行传播。入侵成功后，可以对目标网络系统发起分布式拒绝服务（DDoS）攻击。

（9）恶意地址：116.204.171.195 地点：韩国/首尔特别/首尔

威胁类型：后门

病毒家族：Farfli

描述：一种远程控制木马，可通过网络下载、软件捆绑、网络钓鱼等多种方式传播。它允许远程攻击者执行各种远程控制操作，例如监视计算机屏幕、记录击键、下载和安装任意文件、窃取私人信息，甚至控制受感染的计算机发起DDoS 攻击。

(10) 恶意地址：xwormkdv.ddns.net 关联IP地址：189.6.66.135

归属地： 巴西/联邦区/巴西利亚

威胁类型：后门

病毒家族：DarkKomet

描述：一种后门程序，允许攻击者使用图形用户界面控制受感染的主机。运行后可以修改系统设置、记录键盘、截图、捕捉声音摄像头、通过套接字与控制服务器建立连接、监听远程服务器的命令、下载文件、启动程序、运行脚本等操作。

2、排查方法（1）详细查看分析网络设备中的浏览器记录和近期流量、DNS请求记录，是否存在上述恶意地址连接记录。如果可能的话，可以提取源IP、设备信息、连接时间等信息进行深入分析。

（2）在单位应用系统中部署网络流量检测设备，分析流量数据，追踪与上述URL、IP发起通信的设备的上网活动轨迹。

(3)如果能够成功定位被攻击的网络设备，就可以主动对这些设备进行检查取证，然后组织技术分析。

3.处置建议（1）对通过社交平台或电子邮件渠道收到的所有文件和链接保持高度警惕，重点关注来源不明或不可信的情况，不要轻易信任或打开相关文件。

（二）及时更新威胁情报产品或网络出口防护设备中的规则，坚决阻断对上述恶意URL、恶意IP的访问。

（三）及时向公安机关报告，配合现场调查和技术溯源。

文章来源：国家网络安全通报中心