导语:这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联,网络攻击类型包括建立僵尸网络、后门利用等,对中国国内联网单位和互联网用户构成重大威胁。
中国国家网络与信息安全信息通报中心通过支撑单位发现一批境外恶意网址和恶意IP,境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联,网络攻击类型包括建立僵尸网络、后门利用等,对中国国内联网单位和互联网用户构成重大威胁。相关恶意网址和恶意IP归属地主要涉及:美国、英国、意大利、捷克、斯洛伐克、沙特阿拉伯、立陶宛。主要情况如下:
一、恶意地址信息
(一)恶意地址:sunnwin.bi
关联IP地址:104.18.1.30
归属地:美国
威胁类型:后门
病毒家族:Quasar
描述:这是一种基于.NET Framework的远程管理木马,提供文件管理、进程管理、远程桌面、远程shell、上传下载、获取系统信息、重启关机、键盘记录、窃取密码、注册表编辑等功能,常被攻击者用于信息窃取和远程控制受害者主机。
(二)恶意地址:bore.pub
关联IP地址:159.223.171.199
归属地:美国/北伯根
威胁类型:僵尸网络
病毒家族:SoftBot
描述:这是一种可在x86、arm等多个平台上运行的僵尸网络,因bot模块名为softbot.{arch},故命名为SoftBot。该家族样本入侵成功后会植入bot模块以构建僵尸网络,可向特定网络目标发起10种形式的分布式拒绝服务(DDoS)攻击。此外,该样本运行后多会输出字符串“im in deep sorrow”。
(三)恶意地址:full.dsaj2a.org
关联IP地址:23.253.46.64
归属地:美国/伊利诺伊州/芝加哥
威胁类型:僵尸网络
病毒家族:XorDDos
描述:这是一种Linux僵尸网络病毒,主要通过内置用户名、密码字典进行Telnet和SSH暴力破解的方式扩散。其在加解密中大量使用了Xor,同时运用多态及自删除的方式随机生成进程名,可实现对网络设备进行扫描和对网络摄像机、路由器等IOT设备的攻击,攻击成功后,可利用僵尸程序形成一个僵尸网络,对目标网络发起分布式拒绝服务(DDos)攻击,造成大面积网络瘫痪或无法访问网站或在线服务。
(四)恶意地址:stopdicksucking.duckdns.org
关联IP地址:216.126.225.121
归属地:美国/犹他州/奥格登
威胁类型:僵尸网络
病毒家族:CondiBot
描述:这是一种僵尸网络,利用TP-Link Archer AX21漏洞CVE-2023-1389进行传播。攻击者通过Telegram频道@zxcr9999来推广、销售Condi以及其他僵尸网络的DDoS服务和源代码。僵尸程序可通过接收C2服务器下发的cmd指令,执行发起DDoS攻击、更新、终止程序等不同的操作。Condi支持的DDoS攻击向量包括:attack_tcp_syn、attack_tcp_ack、attack_tcp_socket、attack_tcp_thread、attack_tcp_bypass、attack_udp_plain、attack_udp_thread、attack_udp_smart。
(五)恶意地址:friendly.ydns.eu
关联IP地址:158.94.209.179
归属地:英国/英格兰/伦敦
威胁类型:后门
病毒家族:DcRat
描述:这是一种远程访问木马,采用.NET实现,能够窃取用户隐私信息(系统信息、账号信息等),根据远程指令执行多种功能:shell命令、截图、记录键盘、窃取cookie、数据上传、操纵剪贴版、删除目录、设置壁纸、发起DDoS攻击等。
(六)恶意地址:cnc.fearfulcats.tk
关联IP地址:185.225.73.158
归属地:意大利
威胁类型:僵尸网络
病毒家族:V3G4Bot
描述:这是一种针对Linux和IoT设备的僵尸网络,属于Mirai僵尸网络的一个变体,借助多个N day漏洞以及弱口令暴破进行传播。样本的敏感字符串资源经过XOR异或加密,通过与C2服务器建立通信,接收攻击者下发的指令来对指定目标发起DDoS攻击,造成大面积网络瘫痪、网站或在线服务无法访问。
(七)恶意地址:njsywvyoj.localto.net
关联IP地址:194.182.64.133
归属地:捷克/布拉格/布拉格
威胁类型:后门
病毒家族:NjRAT
描述:该后门是一种由C#编写的远程访问木马,具备屏幕监控、键盘记录、密码窃取、文件管理(上传、下载、删除、重命名文件)、进程管理(启动或终止进程)、远程激活摄像头、交互式 Shell(远程命令执行)、访问特定 URL 及其它多种恶意控制功能,通常通过移动存储介质感染、网络钓鱼邮件或恶意链接进行传播,用于非法监控、数据窃取和远程控制受害者计算机。
(八)恶意地址:hustleathem.duckdns.org
关联IP地址:212.232.22.100
归属地:斯洛伐克/布拉迪斯拉发州/布拉迪斯拉发
威胁类型:后门
病毒家族:Xworm
描述:这是一种.NET编译的后门木马,使用多种持久性和防御规避技术。收集并发送系统详细信息到C&C服务器并接收指令,功能包括键盘记录、屏幕捕获、自动更新、自毁、运行脚本、勒索软件操作、麦克风操作、摄像头监控,打开特定URL,监控活跃的窗口,进程管理,剪切板管理,远程shell执行、DDos攻击,获取地址位置,锁定屏幕,密码窃取、安装Ngrok、HVNC、隐藏RDP连接等。
(九)恶意地址:luvxc1de.ddns.net
关联IP地址:51.39.230.132
归属地:沙特阿拉伯/利雅得/利雅得
威胁类型:后门
病毒家族:AsyncRAT
描述:这是一种后门木马,采用C#语言编写,主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式SHELL,以及访问特定URL等。其主要通过移动介质、网络钓鱼等方式进行传播,现已发现多个关联变种,部分变种主要针对民生领域的联网系统。
(十)恶意地址:77.90.185.212
归属地:立陶宛/维尔纽斯县/维尔纽斯
威胁类型:僵尸网络
病毒家族:Mirai
描述:这是一种Linux僵尸网络病毒,通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散,入侵成功后可对目标网络系统发起分布式拒绝服务(DDoS)攻击。
二、排查方法
(一)详细查看分析浏览器记录以及网络设备中近期流量和DNS请求记录,查看是否有以上恶意地址连接记录,如有条件可提取源IP、设备信息、连接时间等信息进行深入分析。
(二)在本单位应用系统中部署网络流量检测设备进行流量数据分析,追踪与上述网址和IP发起通信的设备网上活动痕迹。
(三)如果能够成功定位到遭受攻击的联网设备,可主动对这些设备进行勘验取证,进而组织技术分析。
三、处置建议
(一)对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕,重点关注其中来源未知或不可信的情况,不要轻易信任或打开相关文件。
(二)及时在威胁情报产品或网络出口防护设备中更新规则,坚决拦截以上恶意网址和恶意IP的访问。
(三)向公安机关及时报告,配合开展现场调查和技术溯源。
文章来源自:国家网络安全通报中心
如若转载,请注明原文地址
