中国国家网络与信息安全信息通报中心通过支撑单位发现一批境外恶意网址和恶意IP，境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、后门利用等，对中国国内联网单位和互联网用户构成重大威胁。相关恶意网址和恶意IP归属地主要涉及：美国、德国、荷兰、拉脱维亚、土耳其、伊朗、韩国、巴西。主要情况如下：

一、恶意地址信息

（一）恶意地址：station.myvnc.com

关联IP地址：97.106.23.197

归属地：美国/佛罗里达州/布雷登顿

威胁类型：后门

病毒家族：Nanocore

描述：是一种远程访问木马，被用于间谍活动和系统远程控制。攻击者获得感染病毒的主机访问权限，能够录制音频和视频、键盘记录、收集凭据和个人信息、操作文件和注册表、下载和执行其它恶意软件负载等。Nanocore还支持插件，能够扩展实现各种恶意功能，比如挖掘加密货币，勒索软件攻击等。

（二）恶意地址：jaks.ddns.net

关联IP地址：134.209.173.227

归属地：美国/新泽西州/克利夫顿

威胁类型：后门

病毒家族：AsyncRAT

描述：一种后门木马，采用C#语言编写，主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式SHELL，以及访问特定URL等。主要通过移动介质、网络钓鱼等方式进行传播，现已发现多个关联变种，部分变种主要针对民生领域的联网系统。

（三）恶意地址：

ilenudavous-monoxoxapal

-semimihupution.info

关联IP地址：178.162.203.211

归属地：德国/黑森州/美因河畔法兰克福

威胁类型：僵尸网络

病毒家族：MooBot

描述：这是一种Mirai僵尸网络的变种，常借助各种IoT设备漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等进行入侵，攻击者在成功入侵设备后将下载MooBot的二进制文件并执行，进而组建僵尸网络并可能发起DDoS(分布式拒绝服务)攻击。

（四）恶意地址：196.251.115.19

归属地：荷兰/北荷兰省/阿姆斯特丹

威胁类型：僵尸网络

病毒家族：Gafgyt

描述：这是一种基于因特网中继聊天（IRC）协议的物联网僵尸网络病毒，主要通过漏洞利用和内置的用户名、密码字典进行Telnet和SSH暴力破解等方式进行扩散传播。可对网络设备进行扫描，攻击网络摄像机、路由器等IoT设备，攻击成功后，利用僵尸程序形成僵尸网络，对目标网络系统发起分布式拒绝服务（DDoS）攻击，可能造成大面积网络瘫痪。

（五）恶意地址：glad147.ddns.net

关联IP地址：185.214.10.22

归属地：荷兰/北荷兰/阿姆斯特丹

威胁类型：后门

病毒家族：Quasar

描述：一种基于.NET Framework的远程管理木马，提供文件管理、进程管理、远程桌面、远程shell、上传下载、获取系统信息、重启关机、键盘记录、窃取密码、注册表编辑等功能，常被攻击者用于信息窃取和远程控制受害者主机。

（六）恶意地址：193.111.78.190

归属地：土耳其/布尔萨省/布尔萨

威胁类型：僵尸网络

病毒家族：Gafgyt

描述：这是一种基于因特网中继聊天（IRC）协议的物联网僵尸网络病毒，主要通过漏洞利用和内置的用户名、密码字典进行Telnet和SSH暴力破解等方式进行扩散传播。可对网络设备进行扫描，攻击网络摄像机、路由器等IoT设备，攻击成功后，利用僵尸程序形成僵尸网络，对目标网络系统发起分布式拒绝服务（DDoS）攻击，可能造成大面积网络瘫痪。

（七）恶意地址：p.findmeatthe.top

关联IP地址：94.140.120.193

归属地：拉脱维亚/里加市/里加

威胁类型：僵尸网络

病毒家族：Mirai

描述：这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散，入侵成功后可对目标网络系统发起分布式拒绝服务（DDoS）攻击。

（八）恶意地址：

joker.proxywall.p-e.kr

关联IP地址：37.49.148.60

归属地：伊朗

威胁类型：僵尸网络

病毒家族：Mirai

描述：这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散，入侵成功后可对目标网络系统发起分布式拒绝服务（DDoS）攻击。

（九）恶意地址：116.204.171.195

归属地：韩国/首尔特别/首尔

威胁类型：后门

病毒家族：Farfli

描述：一种远控木马，能够通过网络下载、软件捆绑、网络钓鱼等多种方式传播。其允许远程攻击者执行多种远控操作，比如监控电脑屏幕、键盘记录、下载安装任意文件、窃取隐私信息，甚至还可以控制感染的计算机发起DDoS攻击。

（十）恶意地址：xwormkdv.ddns.net

关联IP地址：189.6.66.135

归属地：巴西/联邦区/巴西利亚

威胁类型：后门

病毒家族：DarkKomet

描述：一种后门程序，允许攻击者使用图形用户界面控制感染的主机，运行后能够修改系统设置、记录键盘、截图、捕获声音摄像头，通过套接字建立与控制服务器的连接，侦听来自远程服务器的命令、执行下载文件、启动程序、运行脚本等操作。

二、排查方法

（一）详细查看分析浏览器记录以及网络设备中近期流量和DNS请求记录，查看是否有以上恶意地址连接记录，如有条件可提取源IP、设备信息、连接时间等信息进行深入分析。

（二）在本单位应用系统中部署网络流量检测设备进行流量数据分析，追踪与上述网址和IP发起通信的设备网上活动痕迹。

（三）如果能够成功定位到遭受攻击的联网设备，可主动对这些设备进行勘验取证，进而组织技术分析。

三、处置建议

（一）对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕，重点关注其中来源未知或不可信的情况，不要轻易信任或打开相关文件。

（二）及时在威胁情报产品或网络出口防护设备中更新规则，坚决拦截以上恶意网址和恶意IP的访问。

（三）向公安机关及时报告，配合开展现场调查和技术溯源。

来源：国家网络安全通报中心