要点注意境外坏心网址和坏心IP七天 探花

中国国度辘集与信息安全信息通报中心发现一批境外坏心网址和坏心IP，境外黑客组织应用这些网址和IP合手续对中国和其他国度发起辘集报复。这些坏心网址和IP齐与特定木马门径或木马门径箝制端密切关联，辘集报复类型包括诞生僵尸辘集、辘集垂钓、窃取买卖诡秘和常识产权、骚动公民个东谈主信息等，对中国国内联网单元和互联网用户组成紧要恐吓，部分行径已涉嫌刑事犯罪。关联坏心网址和坏心IP包摄田主要触及：好意思国、荷兰、新加坡、土耳其、墨西哥、越南等。主要情况如下：

一、坏心地址信息

（一）坏心地址：gael2024.kozow.com

关联IP地址：149.28.98.229

包摄地：好意思国/佛罗里达州/迈阿密

恐吓类型：后门

病毒眷属：AsyncRAT

刻画：该坏心地址关联多个AsyncRAT病毒眷属样本，部分样本的MD5值为50860f067b266d6a370379e8bcd601ba。关联后门门径选择C#话语编写，主邀功能包括屏幕监控、键盘纪录、密码获取、文献窃取、程度不停、开关录像头、交互式shell，以及探听特定URL等。这些病毒可通过出动存储介质、辘集垂钓邮件等容貌进行传播，现已发现多个关联变种，部分变种主要针对中国境内民生范围的蹙迫联网系统。

（二）坏心地址：185.174.101.218

包摄地：好意思国/加利福尼亚州/洛杉矶

恐吓类型：后门

病毒眷属：RemCos

刻画：该坏心地址关联到多个RemCos病毒眷属样本，部分样本的MD5值为56f94f8aed310e90b5f513b1eb999c69。RemCos是一款费力不停器用，自2016年起就已存在。报复者不错应用受感染系统的后门探听权限采集明锐信息并费力箝制系统。最新版块的RemCos不错实际多样坏心行径，包括键盘纪录、截取屏幕截图和窃取密码。

（三）坏心地址：counterstrike2-cheats.com

关联IP地址：45.137.198.211

包摄地：荷兰/北荷兰省/阿姆斯特丹

恐吓类型：僵尸辘集

汤唯车震

病毒眷属：mirai七天 探花

刻画：这是一种Linux僵尸辘集病毒，通过辘集下载、纰谬应用、Telnet和SSH暴力破解等容貌进行扩散，入侵告捷后可对看法辘集系统发起漫衍式终止工作（DDoS）报复。

（四）坏心地址：bot.merisprivate.net

关联IP地址：194.120.230.54

包摄地：荷兰/北荷兰省/阿姆斯特丹

恐吓类型：僵尸辘集

病毒眷属：mirai

刻画：这是一种Linux僵尸辘集病毒，通过辘集下载、纰谬应用、Telnet和SSH暴力破解等容貌进行扩散，入侵告捷后可对看法辘集系统发起漫衍式终止工作（DDoS）报复。

（五）坏心地址：localvpn.anondns.net

关联IP地址：37.120.141.162

包摄地：荷兰/北荷兰省/阿姆斯特丹

恐吓类型：后门

病毒眷属：Nanocore

刻画：该坏心地址关联到Nanocore病毒眷属样本，部分样本的MD5值为954866a242963b6a2caadf0c5b7df5e1，Nanocore是一种费力探听木马，被用于间谍行径和系统费力箝制。报复者获取感染病毒的主机探听权限，大略录制音频和视频、键盘纪录、采集左证和个东谈主信息、操作文献和注册表、下载和实际其它坏心软件负载等。Nanocore还辅助插件，大略推广完毕多样坏心功能，比如挖掘加密货币，绑架软件报复等。

（六）坏心地址：bueenotgay.duckdns.org

关联IP地址：217.15.161.176

包摄地：新加坡

恐吓类型：僵尸辘集

病毒眷属：MooBot

刻画：这是一种Mirai僵尸辘集的变种，常借助多样IoT开发纰谬举例CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等实施入侵，报复告捷后，受害开发将下载并实际MooBot的二进制文献，进而组建僵尸辘集并可能发起DDoS(漫衍式终止工作)报复。

（七）坏心地址：sidiaisi168.com

关联IP地址：154.211.96.238

包摄地：新加坡

恐吓类型：后门

病毒眷属：Farfli

刻画：该坏心地址关联到多个Farfli病毒眷属样本，部分样本的MD5值为b860f4174f47f3622d7175f1e66b49c2。Farfli是一种远控木马，大略通过辘集下载、软件紧缚、辘集垂钓等多种容貌传播。其允许费力报复者实际多种远控操作，比如监控电脑屏幕、键盘纪录、下载装配恣意文献、窃取躲避信息，致使还不错箝制感染的策画机发起DDoS报复。

（八）坏心地址：94.122.78.238

包摄地：土耳其/伊斯坦布尔省/伊斯坦布尔

恐吓类型：僵尸辘集

病毒眷属：gafgyt

刻画：这是一种基于因特网中继聊天（IRC）合同的物联网僵尸辘集病毒，主要通过纰谬应用和内置的用户名、密码字典进行Telnet和SSH暴力破解等容貌进行扩散传播。可对辘集开发进行扫描，报复辘集录像机、路由器等IoT开发，报复告捷后，应用僵尸门径形成僵尸辘集，对看法辘集系统发起漫衍式终止工作（DDoS）报复，可能形成大面积辘集瘫痪。

（九）坏心地址：windowwork.duckdns.org

关联IP地址：103.88.234.204

包摄地：墨西哥/墨西哥联邦区/墨西哥城

恐吓类型：后门

病毒眷属：RemCos

刻画：该坏心地址关联到多个RemCos病毒眷属样本，部分样本的MD5值为6dfbc8b366bd1f4ebd33695b8f8fa521。RemCos是一款费力不停器用，自2016年起就已存在。报复者不错应用受感染系统的后门探听权限采集明锐信息并费力箝制系统。最新版块的RemCos不错实际多样坏心行径，包括键盘纪录、截取屏幕截图和窃取密码。

（十）坏心地址：cnc.loctajima.website

关联IP地址：103.28.35.146

包摄地：越南/胡志明市

恐吓类型：僵尸辘集

病毒眷属：MooBot

刻画：这是一种Mirai僵尸辘集的变种，常借助多样IoT开发纰谬举例CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等实施入侵，报复告捷后，受害开发将下载并实际MooBot的二进制文献，进而组建僵尸辘集并可能发起DDoS(漫衍式终止工作)报复。

二、排查圭表

（一）详实搜检分析浏览器纪录以及辘集开发中近期流量和DNS苦求纪录，搜检是否有以上坏心地址阿谀纪录，如有条目可索要源IP、开发信息、阿谀时间等信息进行深远分析。

（二）在本单元应用系统中部署辘集流量检测开发进行流量数据分析，跟踪与上述辘集和IP发起通讯的开发网上行径陈迹。

（三）若是大略告捷定位到遇到报复的联网开发，可主动对这些开发进行勘验取证，进而组织技巧分析。

三、惩处提议

（一）对悉数通过酬酢平台或电子邮件渠谈摄取的文献和集结保合手高度警惕，要点祥和其中着手未知或不行信的情况，不要松弛信任或掀开关联文献。

（二）实时在恐吓谍报居品或辘集出口防御开发中更新划定，坚韧遏制以上坏心网址和坏心IP的探听。

（三）向关联部门实时论说，互助开展现场捕快和技巧溯源。

着手：国度辘集安全通报中心

经由裁剪：U022

如遇作品本色、版权等问题七天 探花，请在关联著作刊发之日起30日内与本网推敲。版权侵权推敲电话：010-85202353