教育数字化知识图谱

中国国家网络与信息安全信息通报中心通过支撑单位发现一批境外恶意网址和恶意 IP ，境外黑客组织利用这些网址和 IP 持续对中国 和其他国家发起网络攻击。这些恶意网址和 IP 都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、后门利用等，对中国国内联网单位和互联网用户构成重大威胁。相关恶意网址和恶意 IP 归属地主要涉及：美国 、 加拿大 、 英国、 德国、 荷兰 、 乌克兰、巴西、越南 。主要情况如下：

一、恶意地址信息

（ 一 ）恶意地址 ： telnet.icealeximino.live

关联 IP 地址： 51.81.255.132

归属地： 美国 / 俄勒冈州 / 波特兰

威胁类型： 僵尸网络

病毒家族： V3G4Bot

描述： 这是一种针对 Linux 和 IoT 设备的僵尸网络，属于 Mirai 僵尸网络的一个变体，借助多个 N day 漏洞以及弱口令暴破进行传播。样本的敏感字符串资源经过 XOR 异或加密，通过与 C2 服务器建立通信，接收攻击者下发的指令来对指定目标发起 DDoS 攻击，造成大面积网络瘫痪、网站或在线服务无法访问。

（ 二 ）恶意地址： nj5056ja.duckdns.org

关联 IP 地址： 104.250.167.52

归属地： 加拿大 / 魁北克 / 蒙特利尔

威胁类型： 后门

病毒家族： NjRAT

描述： 该后门 是 一种由 C# 编写的远程访问木马，具备屏幕监控、键盘记录、密码窃取、文件管理（上传、下载、删除、重命名文件）、进程管理（启动或终止进程）、远程激活摄像头、交互式 Shell （远程命令执行）、访问特定 URL 及其 它 多种恶意控制功能，通常通过移动存储 介质 感染、网络钓鱼邮件或恶意链接 进行 传播，用于非法监控、数据窃取和远程控制受害者计算机。

（ 三 ）恶意地址： dinero26.duckdns.org

关联 IP 地址： 192.159.99.171

归属地： 英国 / 英格兰 / 伦敦

威胁类型： 后门

病毒家族： RemCos

描述： RemCos 是一款远程管理工具， 发布于 2016 年。最新版本的 RemCos 能够 执行 多 种恶意活动，包括键盘记录、截取屏幕截图和窃取密码 。 攻击者可以利用受感染系统的后门访问权限收集敏感信息并远程控制系统。

（ 四 ）恶意地址： coomm.servebbs.net

关联 IP 地址： 185.196.20.150

归属地： 德国 / 巴伐利亚邦 / 纽伦堡

威胁类型： 后门

病毒家族： AsyncRAT

描述： 这是 一种后门木马，采用 C# 语言编写，主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式 SHELL ，以及访问特定 URL 等。 其 主要通过移动介质、网络钓鱼等方式进行传播，现已发现多个关联变种，部分变种主要针对民生领域的联网系统。

（ 五 ）恶意地址： sedef3.duckdns.org

关联 IP 地址： 188.89.182.68

归属地： 荷兰

威胁类型： 后门

病毒家族： Xworm

描述： 这是一种 .NET 编译的后门木马，使用多种持久性和防御规避技术。收集并发送系统详细信息到 C&C 服务器并接收指令，功能包括键盘记录、屏幕捕获、自动更新、自毁、运行脚本、勒索软件操作、麦克风操作、摄像头监控，打开特定 URL ，监控活跃的窗口，进程管理，剪切板管理，远程 shell 执行、 DDos 攻击，获取地址位置，锁定屏幕，密码窃取、安装 Ngrok 、 HVNC 、隐藏 RDP 连接等。

（ 六 ）恶意地址： 103.136.41.159

归属地： 荷兰 / 南荷兰省 / 纳尔德韦克

威胁类型： 僵尸网络

病毒家族： Mirai

描述： 这是一种 Linux 僵尸网络病毒，通过网络下载、漏洞利用、 Telnet 和 SSH 暴力破解等方式进行扩散，入侵成功后可对目标网络系统发起分布式拒绝服务（ DDoS ）攻击。

（ 七 ）恶意地址： 151.243.109.160

归属地： 荷兰 / 北布拉班特省 / 艾恩德霍芬

威胁类型： 僵尸网络

病毒家族： Gafgyt

描述： 这是 一种基于因特网中继聊天（ IRC ）协议的物联网僵尸网络病毒，主要通过漏洞 利用 和内置的用户名、密码字典进行 Telnet 和 SSH 暴力破解 等方式进行 扩散 传播 。可对网络设备进行扫描，攻击网络摄像机、路由器等 I o T 设备，攻击成功后，利用僵尸程序形成僵尸网络，对目标网络系统发起分布式拒绝服务（ DDo S ）攻击， 可能 造成大面积网络瘫痪。

（ 八 ）恶意地址： mrsus.ddns.net

关联 IP 地址： 46.151.182.4

归属地： 乌克兰

威胁类型： 僵尸网络

病毒家族： CondiBot

描述： 这是 一种僵尸网络，利用 TP-Link Archer AX21 漏洞 CVE-2023-1389 进行传播。攻击者通过 Telegram 频道 @zxcr9999 来推广 、 销售 Condi 以及其他僵尸网络的 DDoS 服务和源代码。僵尸程序可通过接收 C2 服务器下发的 cmd 指令，执行发起 DDoS 攻击、更新、终止程序等不同的操作。 Condi 支持的 DDoS 攻击向量包括： attack_tcp_syn 、 attack_tcp_ack 、 attack_tcp_socket 、 attack_tcp_thread 、 attack_tcp_bypass 、 attack_udp_plain 、 attack_udp_thread 、 attack_udp_smart 。

（ 九 ）恶意地址： xerecanega.ddns.net

关联 IP 地址： 186.192.123.40

归属地： 巴西 / 戈亚斯州 / 戈亚内西亚

威胁类型： 后门

病毒家族： NjRAT

描述： 该后门 是 一种由 C# 编写的远程访问木马，具备屏幕监控、键盘记录、密码窃取、文件管理（上传、下载、删除、重命名文件）、进程管理（启动或终止进程）、远程激活摄像头、交互式 Shell （远程命令执行）、访问特定 URL 及其 它 多种恶意控制功能，通常通过移动存储 介质 感染、网络钓鱼邮件或恶意链接 进行 传播，用于非法监控、数据窃取和远程控制受害者计算机。

（ 十 ）恶意地址： cvawrs.duckdns.org

关联 IP 地址： 160.187.246.23

归属地： 越南 / 清化省

威胁类型： 僵尸网络

病毒家族： SoftBot

描述： 这是 一种可在 x86 、 arm 等多个平台上运行的僵尸网络，因 bot 模块名为 softbot.{arch} ，故命名为 SoftBot 。该家族样本入侵成功后会植入 bot 模块以构建僵尸网络，可向特定网络目标发起 10 种形式的分布式拒绝服务（ DDoS ）攻击。此外，该样本运行后 多会 输出字符串 “im in deep sorrow” 。

二、排查方法

（一）详细查看分析浏览器记录以及网络设备中近期流量和 DNS 请求记录，查看是否有以上恶意地址连接记录，如有条件可提取源 IP 、设备信息、连接时间等信息进行深入分析。

（二）在本单位应用系统中部署网络流量检测设备进行流量数据分析，追踪与上述网 址 和 IP 发起通信的设备网上活动痕迹。

（三）如果能够成功定位到遭受攻击的联网设备，可主动对这些设备进行勘验取证，进而组织技术分析。

三、处置建议

（一）对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕，重点关注其中来源未知或不可信的情况，不要轻易信任或打开相关文件。

（二）及时在威胁情报产品或网络出口防护设备中更新规则，坚决拦截以上恶意网址和恶意 IP 的访问。

（三）向公安机关及时报告，配合开展现场调查和技术溯源。