中国国家网络安全通报中心发现境外恶意网址和IP 涉及美国荷兰等多国

hua818

根据国家网络安全公告中心的微信官方帐户，中国国家网络安全公告中心发现了一批恶意的海外网站和恶意IPS。海外黑客组织使用这些网站和IPS继续对中国和其他国家发动网络攻击。这些恶意网站和IP与特定的特洛伊木马计划或特洛伊木马计划密切相关。网络攻击的类型包括建立僵尸网络，网络钓鱼，窃取商业秘密和知识产权，侵犯公民的个人信息等，对中国的国内网络单位和互联网用户构成重大威胁。一些活动涉嫌犯罪。相关的恶意网站和恶意IP属性主要涉及：美国，荷兰，新加坡，Türkiye，墨西哥，越南等。主要情况如下：

1。恶意地址信息

（i）恶意地址：

相关的IP地址：149.28.98.229

原产地：美国/佛罗里达/迈阿密

威胁类型：后门

病毒家族：

描述：这个恶意地址与多个病毒家族样本有关，某些样本的MD5值是

。相关的后门程序以C＃语言编写，其主要功能包括屏幕监视，键盘记录，密码采集，文件盗窃，过程管理，交换机，交互式外壳以及访问特定的URL。这些病毒可以通过移动存储媒体，网络钓鱼电子邮件等传播，并且发现了多种相关变体，其中一些主要针对中国人民生计领域的重要网络系统。

（ii）恶意地址：185.174.101.218

原产地：美国/加利福尼亚/洛杉矶

威胁类型：后门

病毒家族：

描述：这个恶意地址与多个病毒家族样本有关，某些样本的MD5值是

。它是自2016年以来一直存在的远程管理工具。攻击者可以使用感染系统的后门访问来收集敏感信息并远程控制系统。最新版本可以执行各种恶意活动，包括键盘记录，屏幕截图和密码窃取。

（iii）恶意地址：

相关IP地址：45.137.198.211

原产地：荷兰/北荷兰省/阿姆斯特丹

威胁类型：僵尸网络

病毒家族：Mirai

描述：这是一种Linux僵尸网络病毒，它通过网络下载，和SSH蛮力破裂传播。成功入侵后，可以在目标网络系统上启动分布式拒绝服务（DDOS）攻击。

（iv）恶意地址：

相关IP地址：194.120.230.54

（v）恶意地址：

相关的IP地址：37.120.141.162

病毒家族：

描述：这个恶意地址与病毒家族样本有关，某些样本的MD5值是

，是远程访问特洛伊木马，用于间谍活动和系统遥控器。攻击者可以访问感染了病毒感染的宿主，可以记录音频和视频，键盘记录，收集凭据和个人信息，操作文件和注册表，下载和执行其他恶意软件负载等。它还可以支持插件，这些插件可以扩展到实施各种恶意功能，例如挖掘密码货币，攻击等，攻击等。

（vi）恶意地址：

相关的IP地址：217.15.161.176

原产地：新加坡

威胁类型：僵尸网络

病毒家族：

描述：这是Mirai 的变体。它通常使用各种物联网设备的漏洞，例如CVE-2015-2051，CVE-2018-6530，CVE-2022-26258，CVE-2022-28958等。攻击成功后，受害者设备将下载并执行二进制文件，然后进行二进制文件，然后进行并可能发动dddos攻击（发射DDDOS）。

（7）恶意地址：

相关的IP地址：154.211.96.238

病毒家族：

描述：这个恶意地址与多个病毒家族样本有关，某些样本的MD5值是

。这是一个遥控木马，可以通过各种方式传播，例如在线下载，软件捆绑和网络钓鱼。它允许远程攻击者执行各种遥控操作，例如监视计算机屏幕，键盘记录，下载和安装任何文件，窃取隐私信息，甚至控制受感染的计算机来启动DDOS攻击。

（8）恶意地址：94.122.78.238

原产地：Türkiye/省/伊斯坦布尔

威胁类型：僵尸网络

病毒家族：

描述：这是基于继电器聊天（IRC）协议的物联网互联网。它主要是通过漏洞开发和内置用户名，密码词典和SSH蛮力破裂传播的。可以扫描网络设备以攻击网络摄像机和路由器等IoT设备。攻击成功后，使用机器人计划形成机器人网络并对目标网络系统发起分布式拒绝服务（DDOS）攻击，这可能会导致大规模网络瘫痪。

（9）恶意地址：

相关的IP地址：103.88.234.204

原产地：墨西哥/墨西哥联邦区/墨西哥城

描述：这个恶意地址与多个病毒家族样本有关，某些样本的MD5值是

。它是自2016年以来一直存在的远程管理工具。攻击者可以使用感染系统的后门访问来收集敏感信息并远程控制系统。最新版本可以执行各种恶意活动，包括键盘记录，屏幕截图和密码窃取。

（10）恶意地址：CNC ..

相关的IP地址：103.28.35.146

所有权地点：越南/胡志明市

2。故障排除方法

（1）在网络设备中详细检查和分析浏览器记录，以及最近的流量和DNS请求记录，并检查上面是否有任何恶意地址连接记录。如果条件允许，请提取源IP，设备信息，连接时间和其他信息，以进行深入分析。

（2）将网络流量检测设备部署在本机构的应用系统中，以进行流量数据分析，并跟踪设备的在线活动轨迹，引发了与上述网络和IPS的通信。

（iii）如果可以成功地找到受攻击的网络设备，则可以积极检查和收集这些设备的证据，然后组织技术分析。

3。处置建议

（1）高度警惕通过社交平台或电子邮件渠道收到的所有文件和链接，并专注于源源是未知或不可信的情况，并且不容易信任或打开相关文件。

（2）及时更新威胁情报产品或网络出口保护设备中的规则，并坚决拦截访问上述恶意网站和恶意IPS。

（3）及时向相关部门报告，并与现场调查和技术可追溯性合作。