教育数字化知识图谱

中国国家网络与信息安全信息通报中心通过支撑单位发现一批境外恶意网址和恶意 IP ，境外黑客组织利用这些网址和 IP 持续对中国 和其他国家发起网络攻击。这些恶意网址和 IP 都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、后门利用等，对中国国内联网单位和互联网用户构成重大威胁。相关恶意网址和恶意 IP 归属地主要涉及：美国 、 英国、德国、瑞典、 新加坡 。主要情况如下：

一、恶意地址信息

（ 一 ）恶意地址： jpbvtuoamhgd.anondns.net

关联 IP 地址： 142.54.160.11

归属地： 美国 / 密苏里州 / 堪萨斯城

威胁类型： 僵尸网络

病毒家族： SoftBot

描述： 这是 一种可在 x86 、 arm 等多个平台上运行的僵尸网络，因 bot 模块名为 softbot.{arch} ，故命名为 SoftBot 。该家族样本入侵成功后会植入 bot 模块以构建僵尸网络，可向特定网络目标发起 10 种形式的分布式拒绝服务（ DDoS ）攻击。此外，该样本运行后 多会 输出字符串 “im in deep sorrow” 。

（ 二 ）恶意地址： rxrx.ddns.net

关联 IP 地址： 173.249.217.3

归属地： 美国 / 伊利诺伊州 / 芝加哥

威胁类型： 后门

病毒家族： NjRAT

描述： 该后门 是 一种由 C# 编写的远程访问木马，具备屏幕监控、键盘记录、密码窃取、文件管理（上传、下载、删除、重命名文件）、进程管理（启动或终止进程）、远程激活摄像头、交互式 Shell （远程命令执行）、访问特定 URL 及其 它 多种恶意控制功能，通常通过移动存储 介质 感染、网络钓鱼邮件或恶意链接 进行 传播，用于非法监控、数据窃取和远程控制受害者计算机。

（ 三 ）恶意地址： mr-carrier.gl.joinmc.link

关联 IP 地址： 147.185.221.17

归属地： 美国

威胁类型： 后门

病毒家族： NjRAT

描述： 该后门 是 一种由 C# 编写的远程访问木马，具备屏幕监控、键盘记录、密码窃取、文件管理（上传、下载、删除、重命名文件）、进程管理（启动或终止进程）、远程激活摄像头、交互式 Shell （远程命令执行）、访问特定 URL 及其 它 多种恶意控制功能，通常通过移动存储 介质 感染、网络钓鱼邮件或恶意链接 进行 传播，用于非法监控、数据窃取和远程控制受害者计算机。

（ 四 ）恶意地址： malware.789clubn.win

关联 IP 地址： 104.18.23.132

归属地： 美国

威胁类型： 后门

病毒家族： Quasar

描述 ： 这是 一种基于 .NET Framework 的远程管理木马，提供文件管理 、 进程管理 、 远程桌面 、 远程 shell 、 上传下载、获取系统信息 、 重启关机、键盘记录 、 窃取密码 、 注册表编辑等功能，常被攻击者用于信息窃取和远程控制受害者主机。

（ 五 ）恶意地址 ： sammygee.duckdns.org

关联 IP 地址： 192.52.242.39

归属地： 美国 / 北卡罗来纳州 / 夏洛特

威胁类型： 后门

病毒家族： RemCos

描述： RemCos 是一款远程管理工具， 发布于 2016 年。最新版本的 RemCos 能够 执行 多 种恶意活动，包括键盘记录、截取屏幕截图和窃取密码 。 攻击者可以利用受感染系统的后门访问权限收集敏感信息并远程控制系统。

（ 六 ）恶意地址： botnet.psscc.cn

关联 IP 地址： 81.161.229.46

归属地： 英国 / 伦敦

威胁类型： 僵尸网络

病毒家族： CondiBot

描述： 这是 一种僵尸网络，利用 TP-Link Archer AX21 漏洞 CVE-2023-1389 进行传播。攻击者通过 Telegram 频道 @zxcr9999 来推广 、 销售 Condi 以及其他僵尸网络的 DDoS 服务和源代码。僵尸程序可通过接收 C2 服务器下发的 cmd 指令，执行发起 DDoS 攻击、更新、终止程序等不同的操作。 Condi 支持的 DDoS 攻击向量包括： attack_tcp_syn 、 attack_tcp_ack 、 attack_tcp_socket 、 attack_tcp_thread 、 attack_tcp_bypass 、 attack_udp_plain 、 attack_udp_thread 、 attack_udp_smart 。

（ 七 ）恶意地址： fenbushijujuefuwu.com

关联 IP 地址： 156.226.174.195

归属地： 德国 / 美因河畔法兰克福

威胁类型： 僵尸网络

病毒家族： MooBot

描 述： 这是 一种 Mirai 僵尸网络的变种，常借助各种 IoT 设备漏洞例如 CVE-2015-2051 、 CVE-2018-6530 、 CVE-2022-26258 、 CVE-2022-28958 等进行入侵，攻击者在成功入侵设备后将下载 MooBot 的二进制文件并执行，进而组建僵尸网络并 可能 发起 DDoS( 分布式拒绝服务 ) 攻击。

（ 八 ） 恶意地址： 109.237.96.10

归属地： 德国 / 黑森州 / 美因河畔法兰克福

威胁类型： 僵尸网络

病毒家族： Mirai

描述： 这是一种 Linux 僵尸网络病毒，通过网络下载、漏洞利用、 Telnet 和 SSH 暴力破解等方式进行扩散，入侵成功后可对目标网络系统发起分布式拒绝服务（ DDoS ）攻击。

（ 九 ）恶意地址： hoxt5.duckdns.org

关联 IP 地址： 188.126.90.11

归属地： 瑞典 / 斯德哥尔摩 / 斯德哥尔摩

威胁类型： 后门

病毒家族： AsyncRAT

描述： 这是 一种后门木马，采用 C# 语言编写，主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式 SHELL ，以及访问特定 URL 等。 其 主要通过移动介质、网络钓鱼等方式进行传播，现已发现多个关联变种，部分变种主要针对民生领域的联网系统。

（ 十 ）恶意地址： www.enoan2107.com

关联 IP 地址： 103.213.247.92

归属地： 新加坡

威胁类型： 僵尸网络

病毒家族： XorDDoS

这是 一种 Linux 僵尸网络病毒，主要通过内置用户名、密码字典进行 Telnet 和 SSH 暴力破解的方式扩散。 其在 加解密中大量使用了 Xor ，同时运用多态及自删除的方式随机生成进程名 ， 可 实现 对网络设备进行扫描 和对 网络摄像机、路由器等 IOT 设备 的攻击 ，攻击成功后，可利用僵尸程序形成一个僵尸网络，对目标网络发起分布式拒绝服务（ DDos ）攻击，造成大面积网络瘫痪 或 无法访问网站或在线服务。

二、排查方法

（一）详细查看分析浏览器记录以及网络设备中近期流量和 DNS 请求记录，查看是否有以上恶意地址连接记录，如有条件可提取源 IP 、设备信息、连接时间等信息进行深入分析。

（二）在本单位应用系统中部署网络流量检测设备进行流量数据分析，追踪与上述网 址 和 IP 发起通信的设备网上活动痕迹。

（三）如果能够成功定位到遭受攻击的联网设备，可主动对这些设备进行勘验取证，进而组织技术分析。

三、处置建议

（一）对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕，重点关注其中来源未知或不可信的情况，不要轻易信任或打开相关文件。

（二）及时在威胁情报产品或网络出口防护设备中更新规则，坚决拦截以上恶意网址和恶意 IP 的访问。

（三）向公安机关及时报告，配合开展现场调查和技术溯源。