教育数字化知识图谱

中国国家网络与信息安全信息通报中心通过支撑单位发现一批境外恶意网址和恶意 IP ，境外黑客组织利用这些网址和 IP 持续对中国 和其他国家发起网络攻击。这些恶意网址和 IP 都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、后门利用等，对中国国内联网单位和互联网用户构成重大威胁。相关恶意网址和恶意 IP 归属地主要涉及：美国 、 英国、意大利、 捷克、 斯洛伐克 、 沙特阿拉伯 、 立陶宛 。主要情况如下：

一、恶意地址信息

（ 一 ） 恶意地址： sunnwin.bi

关联 IP 地址： 104.18.1.30

归属地： 美国

威胁类型： 后门

病毒家族： Quasar

描述： 这是 一种基于 .NET Framework的远程管理木马，提供文件管理 、 进程管理 、 远程桌面 、 远程 shell 、 上传下载、获取系统信息 、 重启关机、键盘记录 、 窃取密码 、 注册表编辑等功能，常被攻击者用于信息窃取和远程控制受害者主机。

（ 二 ）恶意地址： bore.pub

关联 IP 地址： 159.223.171.199

归属地： 美国 / 北伯根

威胁类型： 僵尸网络

病毒家族： SoftBot

描述： 这是 一种可在 x86 、 arm 等多个平台上运行的僵尸网络，因 bot 模块名为 softbot.{arch} ，故命名为 SoftBot 。该家族样本入侵成功后会植入 bot 模块以构建僵尸网络，可向特定网络目标发起 10 种形式的分布式拒绝服务（ DDoS ）攻击。此外，该样本运行后 多会 输出字符串 “im in deep sorrow” 。

（ 三 ）恶意地址： full.dsaj2a.org

关联 IP 地址： 23.253.46.64

归属地： 美国 / 伊利诺伊州 / 芝加哥

威胁类型： 僵尸网络

病毒家族： XorDDos

描述： 这是一种 Linux 僵尸网络病毒，主要通过内置用户名、密码字典进行 Telnet 和 SSH 暴力破解的方式扩散。其在加解密中大量使用了 Xor ，同时运用多态及自删除的方式随机生成进程名，可实现对网络设备进行扫描和对网络摄像机、路由器等 IOT 设备的攻击，攻击成功后，可利用僵尸程序形成一个僵尸网络，对目标网络发起分布式拒绝服务（ DDos ）攻击，造成大面积网络瘫痪或无法访问网站或在线服务。

（ 四 ）恶意地址： stopdicksucking.duckdns.org

关联 IP 地址： 216.126.225.121

归属地： 美国 / 犹他州 / 奥格登

威胁类型： 僵尸网络

病毒家族： CondiBot

描述： 这是 一种僵尸网络，利用 TP-Link Archer AX21 漏洞 CVE-2023-1389 进行传播。攻击者通过 Telegram 频道 @zxcr9999 来推广 、 销售 Condi 以及其他僵尸网络的 DDoS 服务和源代码。僵尸程序可通过接收 C2 服务器下发的 cmd 指令，执行发起 DDoS 攻击、更新、终止程序等不同的操作。 Condi 支持的 DDoS 攻击向量包括： attack_tcp_syn 、 attack_tcp_ack 、 attack_tcp_socket 、 attack_tcp_thread 、 attack_tcp_bypass 、 attack_udp_plain 、 attack_udp_thread 、 attack_udp_smart 。

（ 五 ）恶意地址： friendly.ydns.eu

关联 IP 地址： 158.94.209.179

归属地： 英国 / 英格兰 / 伦敦

威胁类型： 后门

病毒家族： DcRat

描述 ： 这 是一种远程访问木马，采用 .NET实现，能够窃取用户隐私信息（系统信息、账号信息等），根据远程指令执行多种功能： shell 命令、截图、记录键盘、窃取 cookie、数据上传、操纵剪贴版、删除目录、设置壁纸、 发起 DDoS攻击等。

（ 六 ）恶意地址： cnc.fearfulcats.tk

关联 IP 地址： 185.225.73.158

归属地： 意大利

威胁类型： 僵尸网络

病毒家族： V3G4Bot

描述： 这是一种针对 Linux 和 IoT 设备的僵尸网络，属于 Mirai 僵尸网络的一个变体，借助多个 N day 漏洞以及弱口令暴破进行传播。样本的敏感字符串资源经过 XOR 异或加密，通过与 C2 服务器建立通信，接收攻击者下发的指令来对指定目标发起 DDoS 攻击，造成大面积网络瘫痪、网站或在线服务无法访问。

（ 七 ）恶意地址： njsywvyoj.localto.net

关联 IP 地址： 194.182.64.133

归属地： 捷克 / 布拉格 / 布拉格

威胁类型： 后门

病毒家族： NjRAT

描述： 该后门 是 一种由 C# 编写的远程访问木马，具备屏幕监控、键盘记录、密码窃取、文件管理（上传、下载、删除、重命名文件）、进程管理（启动或终止进程）、远程激活摄像头、交互式 Shell （远程命令执行）、访问特定 URL 及其 它 多种恶意控制功能，通常通过移动存储 介质 感染、网络钓鱼邮件或恶意链接 进行 传播，用于非法监控、数据窃取和远程控制受害者计算机。

（ 八 ）恶意地址： hustleathem.duckdns.org

关联 IP 地址： 212.232.22.100

归属地： 斯洛伐克 / 布拉迪斯拉发州 / 布拉迪斯拉发

威胁类型： 后门

病毒家族： Xworm

描述： 这是一种 .NET 编译的后门木马，使用多种持久性和防御规避技术。收集并发送系统详细信息到 C&C 服务器并接收指令，功能包括键盘记录、屏幕捕获、自动更新、自毁、运行脚本、勒索软件操作、麦克风操作、摄像头监控，打开特定 URL ，监控活跃的窗口，进程管理，剪切板管理，远程 shell 执行、 DDos 攻击，获取地址位置，锁定屏幕，密码窃取、安装 Ngrok 、 HVNC 、隐藏 RDP 连接等。

（ 九 ）恶意地址： luvxc1de.ddns.net

关联 IP 地址： 51.39.230.132

归属地： 沙特阿拉伯 / 利雅得 / 利雅得

威胁类型： 后门

病毒家族： AsyncRAT

描述： 这是 一种后门木马，采用 C# 语言编写，主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式 SHELL ，以及访问特定 URL 等。 其 主要通过移动介质、网络钓鱼等方式进行传播，现已发现多个关联变种，部分变种主要针对民生领域的联网系统。

（ 十 ）恶意地址 ： 77.90.185.212

归属地： 立陶宛 / 维尔纽斯县 / 维尔纽斯

威胁类型： 僵尸网络

病毒家族： Mirai

描述： 这是一种 Linux 僵尸网络病毒，通过网络下载、漏洞利用、 Telnet 和 SSH 暴力破解等方式进行扩散，入侵成功后可对目标网络系统发起分布式拒绝服务（ DDoS ）攻击。

二、排查方法

（一）详细查看分析浏览器记录以及网络设备中近期流量和 DNS 请求记录，查看是否有以上恶意地址连接记录，如有条件可提取源 IP 、设备信息、连接时间等信息进行深入分析。

（二）在本单位应用系统中部署网络流量检测设备进行流量数据分析，追踪与上述网 址 和 IP 发起通信的设备网上活动痕迹。

（三）如果能够成功定位到遭受攻击的联网设备，可主动对这些设备进行勘验取证，进而组织技术分析。

三、处置建议

（一）对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕，重点关注其中来源未知或不可信的情况，不要轻易信任或打开相关文件。

（二）及时在威胁情报产品或网络出口防护设备中更新规则，坚决拦截以上恶意网址和恶意 IP 的访问。

（三）向公安机关及时报告，配合开展现场调查和技术溯源。