重点防范境外恶意网址和恶意IP（续十八）

中国国家网络与信息安全信息通报中心通过支撑单位发现一批境外恶意网址和恶意IP，境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、后门利用等，对中国国内联网单位和互联网用户构成重大威胁。相关恶意网址和恶意IP归属地主要涉及：美国、英国、德国、瑞典、新加坡。主要情况如下：

一、恶意地址信息

（一）恶意地址：jpbvtuoamhgd.anondns.net

关联IP地址：142.54.160.11

归属地：美国/密苏里州/堪萨斯城

威胁类型：僵尸网络

病毒家族：SoftBot

描述：这是一种可在x86、arm等多个平台上运行的僵尸网络，因bot模块名为softbot.{arch}，故命名为SoftBot。该家族样本入侵成功后会植入bot模块以构建僵尸网络，可向特定网络目标发起10种形式的分布式拒绝服务（DDoS）攻击。此外，该样本运行后多会输出字符串“im in deep sorrow”。

（二）恶意地址：rxrx.ddns.net

关联IP地址：173.249.217.3

归属地：美国/伊利诺伊州/芝加哥

威胁类型：后门

病毒家族：NjRAT

描述：该后门是一种由C#编写的远程访问木马，具备屏幕监控、键盘记录、密码窃取、文件管理（上传、下载、删除、重命名文件）、进程管理（启动或终止进程）、远程激活摄像头、交互式 Shell（远程命令执行）、访问特定 URL 及其它多种恶意控制功能，通常通过移动存储介质感染、网络钓鱼邮件或恶意链接进行传播，用于非法监控、数据窃取和远程控制受害者计算机。

（三）恶意地址：mr-carrier.gl.joinmc.link

关联IP地址：147.185.221.17

归属地：美国

威胁类型：后门

病毒家族：NjRAT

描述：该后门是一种由C#编写的远程访问木马，具备屏幕监控、键盘记录、密码窃取、文件管理（上传、下载、删除、重命名文件）、进程管理（启动或终止进程）、远程激活摄像头、交互式 Shell（远程命令执行）、访问特定 URL 及其它多种恶意控制功能，通常通过移动存储介质感染、网络钓鱼邮件或恶意链接进行传播，用于非法监控、数据窃取和远程控制受害者计算机。

（四）恶意地址：malware.789clubn.win

关联IP地址：104.18.23.132

归属地：美国

威胁类型：后门

病毒家族：Quasar

描述：这是一种基于.NET Framework的远程管理木马，提供文件管理、进程管理、远程桌面、远程shell、上传下载、获取系统信息、重启关机、键盘记录、窃取密码、注册表编辑等功能，常被攻击者用于信息窃取和远程控制受害者主机。

（五）恶意地址：sammygee.duckdns.org

关联IP地址：192.52.242.39

归属地：美国/北卡罗来纳州/夏洛特

威胁类型：后门

病毒家族：RemCos

描述：RemCos是一款远程管理工具，发布于2016年。最新版本的RemCos能够执行多种恶意活动，包括键盘记录、截取屏幕截图和窃取密码。攻击者可以利用受感染系统的后门访问权限收集敏感信息并远程控制系统。

（六）恶意地址：botnet.psscc.cn

关联IP地址：81.161.229.46

归属地：英国/伦敦

威胁类型：僵尸网络

病毒家族：CondiBot

描述：这是一种僵尸网络，利用TP-Link Archer AX21漏洞CVE-2023-1389进行传播。攻击者通过Telegram频道@zxcr9999来推广、销售Condi以及其他僵尸网络的DDoS服务和源代码。僵尸程序可通过接收C2服务器下发的cmd指令，执行发起DDoS攻击、更新、终止程序等不同的操作。Condi支持的DDoS攻击向量包括：attack_tcp_syn、attack_tcp_ack、attack_tcp_socket、attack_tcp_thread、attack_tcp_bypass、attack_udp_plain、attack_udp_thread、attack_udp_smart。

（七）恶意地址：fenbushijujuefuwu.com

关联IP地址：156.226.174.195

归属地：德国/美因河畔法兰克福

威胁类型：僵尸网络

病毒家族：MooBot

描述：这是一种Mirai僵尸网络的变种，常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等进行入侵，攻击者在成功入侵设备后将下载MooBot的二进制文件并执行，进而组建僵尸网络并可能发起DDoS(分布式拒绝服务)攻击。

（八）恶意地址：109.237.96.10

归属地：德国/黑森州/美因河畔法兰克福

威胁类型：僵尸网络

病毒家族：Mirai

描述：这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散，入侵成功后可对目标网络系统发起分布式拒绝服务（DDoS）攻击。

（九）恶意地址：hoxt5.duckdns.org

关联IP地址：188.126.90.11

归属地：瑞典/斯德哥尔摩/斯德哥尔摩

威胁类型：后门

病毒家族：AsyncRAT

描述：这是一种后门木马，采用C#语言编写，主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式SHELL，以及访问特定URL等。其主要通过移动介质、网络钓鱼等方式进行传播，现已发现多个关联变种，部分变种主要针对民生领域的联网系统。

（十）恶意地址：www.enoan2107.com

关联IP地址：103.213.247.92

归属地：新加坡

威胁类型：僵尸网络

病毒家族：XorDDoS

这是一种Linux僵尸网络病毒，主要通过内置用户名、密码字典进行Telnet和SSH暴力破解的方式扩散。其在加解密中大量使用了Xor，同时运用多态及自删除的方式随机生成进程名，可实现对网络设备进行扫描和对网络摄像机、路由器等IOT设备的攻击，攻击成功后，可利用僵尸程序形成一个僵尸网络，对目标网络发起分布式拒绝服务（DDos）攻击，造成大面积网络瘫痪或无法访问网站或在线服务。

二、排查方法

（一）详细查看分析浏览器记录以及网络设备中近期流量和DNS请求记录，查看是否有以上恶意地址连接记录，如有条件可提取源IP、设备信息、连接时间等信息进行深入分析。

（二）在本单位应用系统中部署网络流量检测设备进行流量数据分析，追踪与上述网址和IP发起通信的设备网上活动痕迹。

（三）如果能够成功定位到遭受攻击的联网设备，可主动对这些设备进行勘验取证，进而组织技术分析。

三、处置建议