国家网络安全通报中心公布一批境外恶意网址和恶意IP
创始人
2025-05-03 00:00:16
0

本文转自【国家网络安全通报中心】;

中国国家网络与信息安全信息通报中心通过支撑单位发现一批境外恶意网址和恶意IP,境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联,网络攻击类型包括建立僵尸网络、后门利用、窃密等,对中国国内联网单位和互联网用户构成重大威胁。相关恶意网址和恶意IP归属地主要涉及:美国、瑞典、印度。主要情况如下:

一、恶意地址信息

(一)恶意地址:ddos.8ucddos.com

关联IP地址:38.165.82.8

归属地:美国/加利福尼亚州/圣何塞

威胁类型:僵尸网络

病毒家族:XorDDoS

描述:这是一种Linux僵尸网络病毒,主要通过内置用户名、密码字典进行Telnet和SSH暴力破解的方式扩散。其在加解密中大量使用了Xor,同时运用多态及自删除的方式随机生成进程名,可实现对网络设备进行扫描和对网络摄像机、路由器等IOT设备的攻击,攻击成功后,可利用僵尸程序形成一个僵尸网络,对目标网络发起分布式拒绝服务(DDos)攻击,造成大面积网络瘫痪或无法访问网站或在线服务。

(二)恶意地址:amushuvfikjas.b2047.com

关联IP地址:104.155.138.21

归属地:美国/艾奥瓦州/康瑟尔布拉夫斯

威胁类型:僵尸网络

病毒家族:XorDDoS

描述:这是一种Linux僵尸网络病毒,主要通过内置用户名、密码字典进行Telnet和SSH暴力破解的方式扩散。其在加解密中大量使用了Xor,同时运用多态及自删除的方式随机生成进程名,可实现对网络设备进行扫描和对网络摄像机、路由器等IOT设备的攻击,攻击成功后,可利用僵尸程序形成一个僵尸网络,对目标网络发起分布式拒绝服务(DDos)攻击,造成大面积网络瘫痪或无法访问网站或在线服务。

(三)恶意地址:a.gandzy.shop

关联IP地址:104.131.68.180

归属地:美国/新泽西州/克利夫顿

威胁类型:僵尸网络

病毒家族:MooBot

(四)恶意地址:shetoldmeshewas12.uno

关联IP地址:104.131.68.180

归属地:美国/新泽西州/克利夫顿

威胁类型:僵尸网络

病毒家族:MooBot

(五)恶意地址:yu5bca55387d2a9ba0d7.ddnsfree.com

关联IP地址:173.208.162.39

归属地:美国/密苏里州/北堪萨斯城

威胁类型:后门

病毒家族:AsyncRAT

描述:该恶意地址关联多个AsyncRAT病毒家族样本,部分样本的MD5值为31bfa56bcd984d9a334a3006d3cc323d。该网络后门采用C#语言编写,主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式SHELL,以及访问特定URL等。主要通过移动介质、网络钓鱼等方式进行传播,现已发现多个关联变种,部分变种主要针对民生领域的联网系统。

(六)恶意地址:sbdar.com

关联IP地址:23.20.239.12

归属地:美国/弗吉尼亚州/阿什本

威胁类型:窃密

病毒家族:AmosStealer

描述:该恶意地址关联到AmosStealer病毒家族样本,部分样本的MD5值为9841c50833e3c05e74bffd97b3737d46。AmosStealer(也称为“Atomic Stealer”)是一种针对macOS系统的信息窃取恶意软件,能够窃取用户的登录凭证、浏览器数据、加密货币钱包信息等,该恶意软件通过伪装成合法软件或利用恶意广告(malvertising)进行传播。

(七)恶意地址:34.58.66.17

归属地:美国/加利福尼亚州/山景城

威胁类型:后门

病毒家族:AsyncRAT

(八)恶意地址:reald27.duckdns.org

关联IP地址:46.246.86.20

归属地:瑞典/斯德哥尔摩省/斯德哥尔摩

威胁类型:后门

病毒家族:NjRAT

(九)恶意地址:serisbot.geek

关联IP地址:139.59.53.195

归属地:印度/卡纳塔克邦/班加罗尔

威胁类型:僵尸网络

病毒家族:Mirai

描述:这是一种Linux僵尸网络病毒,通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散,入侵成功后可对目标网络系统发起分布式拒绝服务(DDoS)攻击。

二、排查方法

(一)详细查看分析浏览器记录以及网络设备中近期流量和DNS请求记录,查看是否有以上恶意地址连接记录,如有条件可提取源IP、设备信息、连接时间等信息进行深入分析。

(二)在本单位应用系统中部署网络流量检测设备进行流量数据分析,追踪与上述网址和IP发起通信的设备网上活动痕迹。

(三)如果能够成功定位到遭受攻击的联网设备,可主动对这些设备进行勘验取证,进而组织技术分析。

三、处置建议

相关内容

热门资讯

国网烟台供电公司严阵以待全力迎... 胶东在线7月13日讯(通讯员 马学利 )12日夜间至14日,超强台风“巴威”将对烟台带来持续性大风和...
一张大网如何接住返回的火箭? 7月10日,长征十号乙运载火箭成功首飞,同时火箭一级在海上平台通过网系捕获方式成功回收。这是我国首次...
【场景机会】绿色农畜产品生产加... baotouchangjingjihui 包头场景机会 前言 6月5日,包头市首批场景清单正式发布。...
东莞脑机接口破局:三家医院错位... 无需科幻特效,仅凭意念就能驱动肢体、重启身体机能,曾经只存在于屏幕的场景,如今在东莞临床落地。戴上无...
靠谱大容量TF卡推荐:三星T7... 在当今数字化时代,无论是游戏爱好者还是热衷于拍摄 vlog 的创作者,对大容量存储设备的需求都日益增...
北京能创申请巡检机器人巡检方法... 国家知识产权局信息显示,北京能创科技有限公司申请一项名为“一种巡检机器人巡检方法、系统、存储介质及电...
2026好用的多开云手机分享:... 很多有批量云端运行需求的用户,选云手机时最容易踩的坑,就是参数表上写着支持上百台多开,实际一开十几台...
微软裁掉4800人那天,同一栋... 7月7号,微软发了封全员信:裁4800人,占全球员工2.1%。 收到邮件的人里,有干了八年的程序员,...
代码量涨了10倍,工程能力增长... "我们每周收费 1 万美元,只干一件事:删除 AI 生成的代码。" 上周,一支名为 Slopfix ...
五一视界与环天智慧达成空天领域... 7月12日,五一视界(06651)发布公告,近日公司与环天智慧科技股份有限公司正式达成空天领域战略合...