中国通报一批境外恶意网址和IP，含美国等地，威胁重大

hwyzw

    国家网络与信息安全信息通报中心借助协作机构，识别出若干境外不良网址与恶意IP地址，境外骇客团体正借助这些网址与IP地址，持续对包括中国在内的多个国家实施网络侵袭。这些不良网址与恶意IP地址，均与特定木马软件或木马操控站紧密挂钩，网络侵袭手法涵盖构建僵尸网络、利用后门通道等，对中国境内联网机构及互联网使用者形成了严重威胁。涉及恶意网址及恶意IP的地点主要有美国、荷兰、瑞士、比利时、波兰、南非、立陶宛等地，具体情况如下：

    一、恶意地址信息

    （一）恶意地址：

    关联IP地址：148.135.120.166

    归属地：美国/加利福尼亚州/洛杉矶

    威胁类型：后门

    病毒家族：

    这种远程控制的恶意程序，一旦在设备上安装，就会建立隐蔽的通道，向远程服务器获取指令，可以下载任意文件、运行特定命令、获取设备详情、终止任务进程等。它常常伪装成常见的文件类型，比如压缩文件、图像资料或者系统组件，骗取用户下载运行。

    （二）恶意地址：196.251.118.12

    归属地：荷兰/北荷兰省/阿姆斯特丹

    威胁类型：僵尸网络

    病毒家族：

    该病毒借助因特网中继聊天协议，在物联网设备间传播，它利用系统漏洞，同时借助预设的用户名和密码组合，通过SSH强制入侵手段，实现扩散蔓延。能够检测网络设备，可以攻击网络摄像头、路由器等物联网装置，一旦攻击得手，借助恶意软件组建僵尸网络，向目标网络体系实施分布式拒绝服务打击，或许会导致范围广泛的网络中断。

    （三）恶意地址：

    关联IP地址：5.79.71.205

    归属地：荷兰/北荷兰省/阿姆斯特丹

    威胁类型：僵尸网络

    病毒家族：

    该恶意软件属于Mirai病毒家族的一个分支，惯于利用多种物联网设备的薄弱环节实施渗透，诸如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958这类安全漏洞是它常用的入侵途径，一旦突破设备防线，攻击者会获取预先准备好的可执行代码，并在目标系统上运行，最终形成庞大的网络僵尸集群，同时存在对第三方发动大规模流量骚扰行为的潜在风险。

    （四）恶意地址：

    关联IP地址：87.121.84.50

    归属地：荷兰

    威胁类型：僵尸网络

    病毒家族：Mirai

   

    这种病毒属于Linux僵尸网络类型，它借助网络下载途径、利用系统漏洞以及实施SSH暴力破解等手法进行传播，一旦成功侵入目标系统，便会对该网络环境发动分布式拒绝服务式攻击。

    （五）恶意地址：

    关联IP地址：196.251.86.65

    归属地：瑞士/苏黎世州/苏黎世

    威胁类型：后门

    病毒家族：

    这个后门是用C#编写的，它的主要作用有, 对屏幕进行监视, 记录键盘输入, 获取密码信息, 偷窃文件, 进行进程控制, 控制摄像头的开启与关闭, 提供交互式命令行界面, 以及访问指定的网址。它一般通过移动存储设备或者网络钓鱼手法进行传播, 目前已经发现了好几个类似的变种, 其中有些变种主要攻击的是公共事业领域的联网系统。

    （六）恶意地址：

    关联IP地址：94.110.99.162

    归属地：比利时/安特卫普/安特卫普

    威胁类型：后门

    病毒家族：NjRAT

    这个后门是用C#语言开发的远程控制程序，能够监视屏幕活动，记录键盘输入，盗取密码信息，管理文件（包括上传下载、删除和更名操作），控制进程（可以启动或关闭程序），远程开启摄像头，提供交互式Shell进行命令下达，访问指定网址，还具备其他多种恶意操控能力，一般借助移动设备传播，或者通过钓鱼邮件和恶意网址进行感染，主要目的是非法监视用户、窃取数据以及远程操控受害者的电脑系统。

    （七）恶意地址：

    关联IP地址：51.38.146.208

    归属地：波兰/马佐夫舍省/华沙

    威胁类型：僵尸网络

    病毒家族：Mirai

    描述：这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、和SSH暴力破解等方式进行扩散，入侵成功后可对目标网络系统发起分布式拒绝服务（DDoS）攻击。

    （八）恶意地址：

    关联IP地址：196.251.115.153

    归属地：南非/豪登/约翰内斯堡

    威胁类型：后门

    病毒家族：

   

    这个工具用于远程操控，于2016年推出。新版存在多种恶意功能，诸如记录按键、抓取画面以及盗取密码。攻击者可借助系统后门权限，获取敏感数据并远程操控设备。

    （九）恶意地址：.ydns.eu

    关联IP地址：176.65.144.139

    归属地：立陶宛

    威胁类型：后门

    病毒家族：

    描述：是一款远程管理工具，发布于2016年。最新版本的能够执行多种恶意活动，包括键盘记录、截取屏幕截图和窃取密码，攻击者可以利用受感染系统的后门访问权限收集敏感信息并远程控制系统。

    （十）恶意地址：

    关联IP地址：176.65.144.209

    归属地：立陶宛

    威胁类型：僵尸网络

    病毒家族：Mirai

    描述：这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、和SSH暴力破解等方式进行扩散，入侵成功后可对目标网络系统发起分布式拒绝服务（DDoS）攻击。

    二、排查方法

    仔细审查浏览器历史记录以及网络设备近期数据传输和域名解析请求记录，确认是否存在上述恶意网址的访问痕迹，若有可能，可获取发起IP、终端详情、会话时段等资料以便进一步研判。

    在本单位的应用系统里，安装网络流量监测装置，用来分析数据流量，追踪与那些网址和IP地址进行通信的设备，记录它们在网络上的所有活动情况。

    若能准确找出遭袭的网络装置，便可以着手对它们开展调查搜集证据，然后着手进行技术层面的剖析研究。

    三、处置建议

    对于经由社交软件或电子信箱获取的资料和网址，务必高度警觉，尤其留意那些出处不明或值得怀疑的部分，切莫轻率地相信或启动相关文档。

    要立刻在威胁信息工具或网关过滤装置里刷新规范，务必阻挡先前提及的那些不良网址和恶意网络地址的接入。

    （三）向公安机关及时报告，配合开展现场调查和技术溯源。