国家网络安全通报中心：重点防范境外恶意网址和恶意IP

中国国家网络与信息安全信息报告中心通过依托单位发现多个境外恶意URL、恶意IP。境外黑客组织利用这些URL和IP不断对中国和其他国家发起网络攻击。这些恶意URL和IP与特定木马程序或木马程序控制终端密切相关。网络攻击类型包括建立僵尸网络、利用后门等，对我国国内网络单位和互联网用户构成重大威胁。相关恶意URL和恶意IP地点主要涉及：美国、英国、德国、荷兰、克罗地亚、塞浦路斯、巴西、土耳其、保加利亚等。主要情况如下：

一、恶意地址信息（1）恶意地址：godwilling.duckdns.org 关联IP地址：107.175.148.116

归属地：美国/纽约/布法罗

威胁类型：后门

病毒家族：RemCos

描述：RemCos 是2016 年发布的远程管理工具。最新版本的RemCos 能够执行各种恶意活动，包括键盘记录、屏幕截图和窃取密码。攻击者可以利用后门访问受感染的系统来收集敏感信息并远程控制系统。

（2）恶意地址：ihatefaggots.cc 关联IP地址：158.94.209.205

归属地：英国/英格兰/伦敦

威胁类型：后门

病毒家族：塔斯克病毒

描述：远程控制木马，进入系统后会安装在%AppData%或%ProgramData%目录下，并通过创建任务计划来持久化。它将尝试连接到CC 服务器。一旦连接完成，攻击者就可以访问和控制受感染的计算机，包括获取计算机的敏感信息和用户凭据、在受感染的计算机上执行远程命令、下载并执行任意文件、发起DDoS攻击等。该木马的某些变种会下载Tor组件，并通过Tor网络实现与CC服务器的匿名连接。

(3) 恶意地址：vmr3b.bounceme.net 关联IP地址：41.216.189.110

归属地： 德国/黑森/美因河畔法兰克福

威胁类型：僵尸网络

病毒家族：Mirai

描述：这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、Telnet和SSH暴力破解进行传播。入侵成功后，可以对目标网络系统发起分布式拒绝服务（DDoS）攻击。

（4）恶意地址：antizerolant-monogevudom.info 关联IP地址：85.17.31.82

归属地： 荷兰/北荷兰/阿姆斯特丹

威胁类型：僵尸网络

病毒家族：MooBot

描述：这是Mirai僵尸网络的变种，经常利用CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等各种物联网设备漏洞进行入侵。成功入侵设备后，攻击者会下载MooBot二进制文件并执行，从而形成僵尸网络，并可能发起DDoS（分布式拒绝服务）攻击。

（5）恶意地址：danielaespeleta708090.duckdns.org 关联IP地址：45.88.186.251

归属地： 荷兰/北荷兰/阿姆斯特丹

威胁类型：后门

病毒家族：Crysan

描述：一种后门木马。此类木马具有反检测功能。运行后，它首先检测虚拟机是否存在，如VMWARE等，然后检测其是否在沙箱中运行以及是否包含沙箱特有的特征，如SbieDll.dll等，然后将自身复制到特定文件夹中运行。不同的变体以不同的方式设置自启动，包括创建任务计划、复制到启动文件夹以及设置注册表启动项。最后访问远程CC服务器，接收攻击者的命令并执行相应操作，如下载并执行文件、收集用户数据等。后门木马通过网络钓鱼或当用户访问不安全网站并无意中下载恶意软件时传播。

（6）恶意地址：45.95.169.105 地点：克罗地亚/Sisak-Moslavina County/Sisak

威胁类型：僵尸网络

病毒家族：Gafgyt

描述：这是一种基于互联网中继聊天（IRC）协议的物联网僵尸网络病毒。主要通过漏洞利用和内置用户名密码字典进行Telnet、SSH暴力破解进行传播。它可以扫描网络设备并攻击网络摄像机、路由器等物联网设备。攻击成功后，利用僵尸程序组成僵尸网络，对目标网络系统发起分布式拒绝服务（DDoS）攻击，可能造成大范围的网络瘫痪。

（7）恶意地址：194.30.129.226 地点：塞浦路斯/尼科西亚区/尼科西亚

威胁类型：僵尸网络

病毒家族：Gafgyt

描述：这是一种基于互联网中继聊天（IRC）协议的物联网僵尸网络病毒。主要通过漏洞利用和内置用户名密码字典进行Telnet、SSH暴力破解进行传播。它可以扫描网络设备并攻击网络摄像机、路由器等物联网设备。攻击成功后，利用僵尸程序组成僵尸网络，对目标网络系统发起分布式拒绝服务（DDoS）攻击，可能造成大范围的网络瘫痪。

(8) 恶意地址：sophos1997.camdvr.org 关联IP地址：191.19.217.13

归属地： 巴西/圣保罗州/Jandila

威胁类型：僵尸网络

病毒家族：Mirai

描述：这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、Telnet和SSH暴力破解进行传播。入侵成功后，可以对目标网络系统发起分布式拒绝服务（DDoS）攻击。

（9）恶意地址：weefaf.duckdns.org 关联IP地址：213.238.187.95

归属地： 土耳其/伊斯坦布尔/伊斯坦布尔

威胁类型：后门

病毒家族：DarkKomet

描述：一种后门程序，允许攻击者使用图形用户界面控制受感染的主机。运行后可以修改系统设置、记录键盘、截图、捕捉声音摄像头、通过套接字与控制服务器建立连接、监听远程服务器的命令、下载文件、启动程序、运行脚本等操作。

（10）恶意地址：ratmainz.ink 关联IP地址：91.92.243.128

归属地： 保加利亚/大特尔诺沃地区/斯维什托夫

威胁类型：后门

病毒家族：RemCos 描述：RemCos 是一款于2016 年发布的远程管理工具。最新版本的RemCos 能够执行各种恶意活动，包括键盘记录、屏幕截图和窃取密码。攻击者可以利用后门访问受感染的系统来收集敏感信息并远程控制系统。

2、排查方法（1）详细查看分析网络设备中的浏览器记录和近期流量、DNS请求记录，是否存在上述恶意地址连接记录。如果可能的话，可以提取源IP、设备信息、连接时间等信息进行深入分析。

（2）在单位应用系统中部署网络流量检测设备，分析流量数据，追踪与上述URL、IP发起通信的设备的上网活动轨迹。

(3)如果能够成功定位被攻击的网络设备，就可以主动对这些设备进行检查取证，然后组织技术分析。

3.处置建议（1）对通过社交平台或电子邮件渠道收到的所有文件和链接保持高度警惕，重点关注来源不明或不可信的情况，不要轻易信任或打开相关文件。

（二）及时更新威胁情报产品或网络出口防护设备中的规则，坚决阻断对上述恶意URL、恶意IP的访问。

（三）及时向公安机关报告，配合现场调查和技术溯源。

文章来源：国家网络安全通报中心