中國國家網(wǎng)絡與信息安全信息通報中心發(fā)現(xiàn)一批境外惡意網(wǎng)址和惡意IP�,境外黑客組織利用這些網(wǎng)址和IP持續(xù)對中國和其他國家發(fā)起網(wǎng)絡攻擊�����。這些惡意網(wǎng)址和IP都與特定木馬程序或木馬程序控制端密切關聯(lián)��,網(wǎng)絡攻擊類型包括建立僵尸網(wǎng)絡、挖礦木馬��、遠程控制�、后門利用等,對中國國內(nèi)聯(lián)網(wǎng)單位和互聯(lián)網(wǎng)用戶構成重大威脅�,部分活動已涉嫌刑事犯罪。相關惡意網(wǎng)址和惡意IP歸屬地主要涉及:美國���、法國��、荷蘭��、瑞士等�。主要情況如下:
一���、惡意地址信息
(一)惡意地址:mo.t1linux.com
關聯(lián)IP地址:216.152.18.8
歸屬地:美國/伊利諾伊州/芝加哥
威脅類型:挖礦木馬
病毒家族:lucifer
描述:這是一種跨平臺��、支持多種架構、DDoS與挖礦功能混合的惡意程序�����,主要借助IoT設備漏洞如Dasan GPON光纖路由器越權和遠程命令執(zhí)行漏洞CVE-2018-10561等進行傳播����。其包含下載�����、執(zhí)行等常見的遠程命令和控制功能��,能夠對指定目標發(fā)起DDoS攻擊�,并借助XMRig開源程序實現(xiàn)門羅幣挖取���。
(二)惡意地址:pool.dudiito.dev
關聯(lián)IP地址:5.78.130.39
歸屬地:美國/俄勒岡州/希爾斯伯勒
威脅類型:挖礦木馬
病毒家族:monero
描述:這是一種可在Windows���、Linux、MacOS��、Android等多個平臺運行的開源門羅幣挖礦木馬��,主要通過網(wǎng)絡下載方式傳播��,利用感染主機進行挖礦牟利���。
(三)惡意地址:ddos.howardwang2312.com
關聯(lián)IP地址:91.216.169.28
歸屬地:美國/加利福尼亞州/東洛杉磯
威脅類型:僵尸網(wǎng)絡
病毒家族:moobot
描述:這是一種Mirai僵尸網(wǎng)絡的變種���,常借助各種IoT設備漏洞例如CVE-2015-2051���、CVE-2018-6530、CVE-2022-26258����、CVE-2022-28958等進行入侵,攻擊者在成功入侵設備后將下載MooBot的二進制文件并執(zhí)行�����,進而組建僵尸網(wǎng)絡并可能發(fā)起DDoS(分布式拒絕服務)攻擊�。
(四)惡意地址:9cpanel.hackcrack.io
關聯(lián)IP地址:147.124.205.158
歸屬地:美國/俄勒岡州/本德
威脅類型:后門
病毒家族:NjRAT
描述:該惡意地址關聯(lián)到NjRAT病毒家族樣本,部分樣本程序的MD5值為32b78ad1c0d9d1a0f3761dc7f8bed912����。該網(wǎng)絡后門是一種由 C#編寫的遠程訪問木馬,具備屏幕監(jiān)控����、鍵盤記錄、密碼竊取�����、文件管理(上傳����、下載、刪除�、重命名文件)、進程管理(啟動或終止進程)�、遠程激活攝像頭、交互式 Shell(遠程命令執(zhí)行)����、訪問特定 URL 及其它多種惡意控制功能,通常通過移動存儲介質感染���、網(wǎng)絡釣魚郵件或惡意鏈接進行傳播�����,用于非法監(jiān)控��、數(shù)據(jù)竊取和遠程控制受害者計算機����。
(五)惡意地址:fidapeste2.duckdns.org
關聯(lián)IP地址:192.169.69.26
歸屬地:美國/華盛頓州/西雅圖
威脅類型:后門
病毒家族:NjRAT
描述:該惡意地址關聯(lián)到NjRAT病毒家族樣本�����,部分樣本程序的MD5值為b5cbf7365e0b43b84497b60f105564f2。該網(wǎng)絡后門是一種由 C#編寫的遠程訪問木馬�����,具備屏幕監(jiān)控���、鍵盤記錄�、密碼竊取��、文件管理(上傳��、下載�、刪除、重命名文件)�、進程管理(啟動或終止進程)、遠程激活攝像頭�����、交互式 Shell(遠程命令執(zhí)行)��、訪問特定 URL 及其它多種惡意控制功能�����,通常通過移動存儲介質感染�����、網(wǎng)絡釣魚郵件或惡意鏈接進行傳播����,用于非法監(jiān)控、數(shù)據(jù)竊取和遠程控制受害者計算機�����。
(六)惡意地址:banthis.su
關聯(lián)IP地址:185.142.53.6
歸屬地:法國/巴黎
威脅類型:僵尸網(wǎng)絡
病毒家族:catddos
描述:Catddos病毒家族主要通過IoT設備的N-Day漏洞進行傳播�����,已公開樣本包括CVE-2023-46604���、CVE-2021-22205等�,該惡意地址是相關病毒家族近期有效活躍的回連地址���。
(七)惡意地址:62.210.28.199
歸屬地:法國/巴黎
威脅類型:遠程控制
病毒家族:Meterpreter
描述:該惡意地址關聯(lián)到Meterpreter病毒家族樣本��,部分樣本程序的MD5值為91a77e0d2d4b9bb98b15c78bc4084115�。Meterpreter通常被用于在滲透測試和漏洞利用過程中執(zhí)行攻擊操作,常見的攻擊傳播方式包括漏洞攻擊�、魚叉釣魚等。
(八)惡意地址:seyfhg.work.gd
關聯(lián)IP地址:146.19.188.249
歸屬地:荷蘭/北荷蘭省/阿姆斯特丹
威脅類型:僵尸網(wǎng)絡
病毒家族:moobot
描述:這是一種Mirai僵尸網(wǎng)絡的變種����,常借助各種IoT設備漏洞例如CVE-2015-2051、CVE-2018-6530���、CVE-2022-26258����、CVE-2022-28958等進行入侵�,攻擊者在成功入侵設備后將下載MooBot的二進制文件并執(zhí)行,進而組建僵尸網(wǎng)絡并可能發(fā)起DDoS(分布式拒絕服務)攻擊�。
(九)惡意地址:501799.prohoster.biz
關聯(lián)IP地址:185.212.130.11
歸屬地:荷蘭/北荷蘭省/阿姆斯特丹
威脅類型:后門
病毒家族:DCRat
描述:該惡意地址關聯(lián)到多個DcRat病毒家族樣本,部分樣本程序MD5值為eba23ee4fa3441dd8972973ac7665007����。該網(wǎng)絡后門是一種遠程訪問木馬,最早于2018年發(fā)布�,能夠竊取用戶隱私信息(系統(tǒng)信息、賬號信息等)�����,根據(jù)遠程指令執(zhí)行shell命令、截圖�����、記錄鍵盤��、竊取cookie��、數(shù)據(jù)上傳�����、操縱剪貼版�����、刪除目錄�����、設置壁紙����、發(fā)起DDoS攻擊等多種功能。
(十)惡意地址:176.96.131.55
歸屬地:瑞士
威脅類型:后門
病毒家族:Quasar
描述:該惡意地址關聯(lián)到Quasar病毒家族樣本�,部分樣本程序MD5值為a6de2fc13d573539a75889378af7abc0。這是一種基于.NET Framework的遠程管理木馬�,提供文件管理、進程管理���、遠程桌面�、遠程shell����、上傳下載、獲取系統(tǒng)信息����、重啟關機、鍵盤記錄��、竊取密碼�、注冊表編輯等功能,常被攻擊者用于信息竊取和遠程控制受害者主機��。
二����、排查方法
(一)詳細查看分析瀏覽器記錄以及網(wǎng)絡設備中近期流量和DNS請求記錄��,查看是否有以上惡意地址連接記錄���,如有條件可提取源IP、設備信息����、連接時間等信息進行深入分析。
(二)在本單位應用系統(tǒng)中部署網(wǎng)絡流量檢測設備進行流量數(shù)據(jù)分析�,追蹤與上述網(wǎng)絡和IP發(fā)起通信的設備網(wǎng)上活動痕跡����。
(三)如果能夠成功定位到遭受攻擊的聯(lián)網(wǎng)設備,可主動對這些設備進行勘驗取證�����,進而組織技術分析���。
三�����、處置建議
(一)對所有通過社交平臺或電子郵件渠道接收的文件和鏈接保持高度警惕����,重點關注其中來源未知或不可信的情況,不要輕易信任或打開相關文件���。
(二)及時在威脅情報產(chǎn)品或網(wǎng)絡出口防護設備中更新規(guī)則����,堅決攔截以上惡意網(wǎng)址和惡意IP的訪問�。
(三)向有關部門及時報告,配合開展現(xiàn)場調(diào)查和技術溯源����。
(來源:國家網(wǎng)絡安全通報中心)
等保測評咨詢
