12 月 3 日消息,国家网络安全通报中心披露,中国国家网络与信息安全信息通报中心通过支撑单位监测发现一批境外恶意网址和 IP 地址,相关境外黑客组织正利用这些资源持续对中国及全球多国发起网络攻击。
经分析,这些恶意地址均与特定木马程序或其控制端存在高度关联,攻击类型涵盖后门植入、僵尸网络构建等,已对国内联网单位及普通互联网用户构成严重安全威胁。
此次发现的恶意地址归属地主要集中在:美国、英国、德国、荷兰、克罗地亚、塞浦路斯、巴西、土耳其、保加利亚等国家。
一、恶意地址信息
(一)godwilling.duckdns.org
关联 IP:107.175.148.116
归属地:美国 / 纽约州 / 布法罗
威胁类型:后门
病毒家族:RemCos
说明:RemCos 是一款远程管理工具,具备键盘记录、屏幕截图和密码窃取能力,攻击者可通过后门远程控制系统并获取敏感信息。
(二)ihatefaggots.cc
关联 IP:158.94.209.205
归属地:英国 / 英格兰 / 伦敦
威胁类型:后门
病毒家族:Tasker
说明:该木马可实现持久化驻留,连接 C&C 服务器后允许攻击者执行远程命令、下载文件、窃取凭据,并可能发起 DDoS 攻击;部分变种支持通过 Tor 网络匿名通信。
(三)vmr3b.bounceme.net
关联 IP:41.216.189.110
归属地:德国 / 黑森州 / 美因河畔法兰克福
威胁类型:僵尸网络
病毒家族:Mirai
说明:一种 Linux 平台僵尸病毒,通过漏洞利用和暴力破解 Telnet/SSH 扩散,用于发起分布式拒绝服务(DDoS)攻击。
(四)antizerolant-monogevudom.info
关联 IP:85.17.31.82
归属地:荷兰 / 北荷兰省 / 阿姆斯特丹
威胁类型:僵尸网络
病毒家族:MooBot
说明:Mirai 的变种,利用 IoT 设备多个已知漏洞(如 CVE-2015-2051、CVE-2018-6530 等)进行入侵,构建 DDoS 僵尸网络。
(五)danielaespeleta708090.duckdns.org
关联 IP:45.88.186.251
归属地:荷兰 / 北荷兰 / 阿姆斯特丹
威胁类型:后门
病毒家族:Crysan
说明:具备反检测机制,可识别虚拟机与沙箱环境;通过钓鱼邮件或恶意网站传播,运行后复制自身、设置自启动并连接 C&C 服务器,执行下载、数据收集等指令。
(六)45.95.169.105
归属地:克罗地亚 / 锡萨克-莫斯拉维纳县 / 西萨克
威胁类型:僵尸网络
病毒家族:Gafgyt
说明:基于 IRC 协议的物联网僵尸病毒,通过漏洞利用及暴力破解传播,扫描并攻击摄像头、路由器等 IoT 设备,形成 DDoS 僵尸网络,可能导致大规模网络瘫痪。
(七)194.30.129.226
归属地:塞浦路斯 / 尼科西亚区 / 尼科西亚
威胁类型:僵尸网络
病毒家族:Gafgyt
说明:同属 Gafgyt 僵尸网络,攻击方式与危害与其他同类一致,主要针对 IoT 设备实施入侵并组建 DDoS 攻击网络。
(八)sophos1997.camdvr.org
关联 IP:191.19.217.13
归属地:巴西 / 圣保罗州 / 然迪拉
威胁类型:僵尸网络
病毒家族:Mirai
说明:Linux 平台僵尸病毒,通过网络下载、漏洞利用及暴力破解方式扩散,用于发起 DDoS 攻击。
(九)weefaf.duckdns.org
关联 IP:213.238.187.95
归属地:土耳其 / 伊斯坦布尔 / 伊斯坦布尔
威胁类型:后门
病毒家族:DarkKomet
说明:支持图形化远程控制,具备修改系统设置、键盘记录、截屏、音视频捕获等功能,通过套接字连接控制服务器接收并执行命令。
(十)ratmainz.ink
关联 IP:91.92.243.128
归属地:保加利亚 / 大特尔诺沃州 / 斯维什托夫
威胁类型:后门
病毒家族:RemCos
说明:功能与 godwilling.duckdns.org 所列 RemCos 类似,可用于远程监控和控制系统,窃取敏感信息。
二、排查方法
- 检查浏览器历史记录、网络设备日志中的 DNS 请求与流量记录,排查是否曾连接上述恶意地址,必要时提取源 IP、设备信息、时间等进行深入分析。
- 在网络出口部署流量检测设备,分析数据流,追踪与可疑域名或 IP 通信的内部终端行为。
- 对确认受感染的设备开展现场勘验和技术取证,辅助溯源分析。
三、处置建议
- 提高警惕,不轻信社交平台或邮件中来源不明的链接与附件,避免随意点击或下载。
- 及时更新防火墙、IDS/IPS、威胁情报平台等安全设备规则库,阻断对已公布恶意地址的访问。
- 发现异常应及时向公安机关报案,并配合相关部门开展技术调查与溯源工作。