中国国度汇集与信息安全信息通报中心发现一批境外坏心网址和坏心IP,境外黑客组织欺骗这些网址和IP抓续对中国和其他国度发起汇集报复。这些坏心网址和IP齐与特定木马门径或木马门径支配端密切关联,汇集报复类型包括成就僵尸汇集、汇集垂钓、窃取生意秘要和学问产权、滋扰公民个东谈主信息等,对中国国内联网单元和互联网用户组成要紧挟制,部分动作已涉嫌刑事违警。联系坏心网址和坏心IP包摄田主要触及:好意思国、荷兰、新加坡、土耳其、墨西哥、越南等。主要情况如下: 一、坏心地址信息 (一)坏心地址:gael2024
中国国度汇集与信息安全信息通报中心发现一批境外坏心网址和坏心IP,境外黑客组织欺骗这些网址和IP抓续对中国和其他国度发起汇集报复。这些坏心网址和IP齐与特定木马门径或木马门径支配端密切关联,汇集报复类型包括成就僵尸汇集、汇集垂钓、窃取生意秘要和学问产权、滋扰公民个东谈主信息等,对中国国内联网单元和互联网用户组成要紧挟制,部分动作已涉嫌刑事违警。联系坏心网址和坏心IP包摄田主要触及:好意思国、荷兰、新加坡、土耳其、墨西哥、越南等。主要情况如下:
一、坏心地址信息
(一)坏心地址:gael2024.kozow.com
关联IP地址:149.28.98.229
包摄地:好意思国/佛罗里达州/迈阿密
挟制类型:后门
病毒眷属:AsyncRAT
相貌:该坏心地址关联多个AsyncRAT病毒眷属样本,部分样本的MD5值为50860f067b266d6a370379e8bcd601ba。联系后门门径选择C#讲话编写,主邀功能包括屏幕监控、键盘纪录、密码获取、文献窃取、程度管束、开关录像头、交互式shell,以及探问特定URL等。这些病毒可通过迁徙存储介质、汇集垂钓邮件等方法进行传播,现已发现多个关联变种,部分变种主要针对中国境内民生范围的进攻联网系统。
(二)坏心地址:185.174.101.218
包摄地:好意思国/加利福尼亚州/洛杉矶
挟制类型:后门
病毒眷属:RemCos
相貌:该坏心地址关联到多个RemCos病毒眷属样本,部分样本的MD5值为56f94f8aed310e90b5f513b1eb999c69。RemCos是一款云尔管束器具,自2016年起就已存在。报复者不错欺骗受感染系统的后门探问权限汇集明锐信息并云尔支配系统。最新版块的RemCos不错奉行多样坏心动作,包括键盘纪录、截取屏幕截图和窃取密码。
(三)坏心地址:counterstrike2-cheats.com
关联IP地址:45.137.198.211
包摄地:荷兰/北荷兰省/阿姆斯特丹
挟制类型:僵尸汇集
病毒眷属:mirai
相貌:这是一种Linux僵尸汇集病毒,通过汇集下载、舛误欺骗、Telnet和SSH暴力破解等方法进行扩散,入侵得手后可对见地汇集系统发起散布式拒却劳动(DDoS)报复。
(四)坏心地址:bot.merisprivate.net
关联IP地址:194.120.230.54
包摄地:荷兰/北荷兰省/阿姆斯特丹
挟制类型:僵尸汇集
病毒眷属:mirai
相貌:这是一种Linux僵尸汇集病毒,通过汇集下载、舛误欺骗、Telnet和SSH暴力破解等方法进行扩散,入侵得手后可对见地汇集系统发起散布式拒却劳动(DDoS)报复。
(五)坏心地址:localvpn.anondns.net
关联IP地址:37.120.141.162
包摄地:荷兰/北荷兰省/阿姆斯特丹
挟制类型:后门
病毒眷属:Nanocore
相貌:该坏心地址关联到Nanocore病毒眷属样本,部分样本的MD5值为954866a242963b6a2caadf0c5b7df5e1,Nanocore是一种云尔探问木马,被用于间谍动作和系统云尔支配。报复者得到感染病毒的主机探问权限,梗概录制音频和视频、键盘纪录、汇集笔据和个东谈主信息、操作文献和注册表、下载和奉行其它坏心软件负载等。Nanocore还救济插件,梗概膨胀终了多样坏心功能,比如挖掘加密货币,敲诈软件报复等。
(六)坏心地址:bueenotgay.duckdns.org
关联IP地址:217.15.161.176
包摄地:新加坡
挟制类型:僵尸汇集
病毒眷属:MooBot
相貌:这是一种Mirai僵尸汇集的变种,常借助多样IoT拓荒舛误举例CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等实施入侵,报复得手后,受害拓荒将下载并奉行MooBot的二进制文献,进而组建僵尸汇集并可能发起DDoS(散布式拒却劳动)报复。
(七)坏心地址:sidiaisi168.com
关联IP地址:154.211.96.238
包摄地:新加坡
挟制类型:后门
病毒眷属:Farfli
相貌:该坏心地址关联到多个Farfli病毒眷属样本,部分样本的MD5值为b860f4174f47f3622d7175f1e66b49c2。Farfli是一种远控木马,梗概通过汇集下载、软件系结、汇集垂钓等多种方法传播。其允许云尔报复者奉行多种远控操作,比如监控电脑屏幕、键盘纪录、下载装置恣意文献、窃取躲避信息,致使还不错支配感染的策画机发起DDoS报复。
(八)坏心地址:94.122.78.238
包摄地:土耳其/伊斯坦布尔省/伊斯坦布尔
挟制类型:僵尸汇集
病毒眷属:gafgyt
相貌:这是一种基于因特网中继聊天(IRC)条约的物联网僵尸汇集病毒,主要通过舛误欺骗和内置的用户名、密码字典进行Telnet和SSH暴力破解等方法进行扩散传播。可对汇集拓荒进行扫描,报复汇集录像机、路由器等IoT拓荒,报复得手后,欺骗僵尸门径形成僵尸汇集,对见地汇集系统发起散布式拒却劳动(DDoS)报复,可能变成大面积汇集瘫痪。
(九)坏心地址:windowwork.duckdns.org
关联IP地址:103.88.234.204
包摄地:墨西哥/墨西哥联邦区/墨西哥城
挟制类型:后门
病毒眷属:RemCos
相貌:该坏心地址关联到多个RemCos病毒眷属样本,部分样本的MD5值为6dfbc8b366bd1f4ebd33695b8f8fa521。RemCos是一款云尔管束器具,自2016年起就已存在。报复者不错欺骗受感染系统的后门探问权限汇集明锐信息并云尔支配系统。最新版块的RemCos不错奉行多样坏心动作,包括键盘纪录、截取屏幕截图和窃取密码。
(十)坏心地址:cnc.loctajima.website
关联IP地址:103.28.35.146
包摄地:越南/胡志明市
挟制类型:僵尸汇集
病毒眷属:MooBot
相貌:这是一种Mirai僵尸汇集的变种,常借助多样IoT拓荒舛误举例CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等实施入侵,报复得手后,受害拓荒将下载并奉行MooBot的二进制文献,进而组建僵尸汇集并可能发起DDoS(散布式拒却劳动)报复。
二、排查步调
(一)能干查抄分析浏览器纪录以及汇集拓荒中近期流量和DNS肯求纪录,查抄是否有以上坏心地址汇聚纪录,如有要求可提真金不怕火源IP、拓荒信息、汇聚时候等信息进行深远分析。
(二)在本单元应用系统中部署汇集流量检测拓荒进行流量数据分析,跟踪与上述汇集和IP发起通讯的拓荒网上动作思路。
(三)要是梗概得手定位到遇到报复的联网拓荒,可主动对这些拓荒进行勘验取证,进而组织工夫分析。
三、处分提议
(一)对所有通过嘱托平台或电子邮件渠谈接收的文献和一语气保抓高度警惕,要点柔顺其中开首未知或不行信的情况,不要冒失信任或掀开联系文献。
(二)实时在挟制谍报家具或汇集出口注重拓荒中更新规章,刚烈抑制以上坏心网址和坏心IP的探问。
(三)向推敲部门实时解释开云体育,趋附开展现场捕快和工夫溯源。
官网:www.anxianhui.com
邮箱:a8ceae49@outlook.com
联系:52684287835
地址:新闻电子工业园1442号
