近期，中國國家網絡與信息安全信息通報中心發(fā)現一批境外惡意網址和惡意IP，有多個具有某大國政府背景的境外黑客組織，利用這些網址和IP持續(xù)對中國和其他國家發(fā)起網絡攻擊。這些惡意網址和IP都與特定木馬程序或木馬程序控制端密切關聯，網絡攻擊類型包括建立僵尸網絡、網絡釣魚、勒索病毒等，以達到竊取商業(yè)秘密和知識產權、侵犯公民個人信息等目的，對中國國內聯網單位和互聯網用戶構成重大威脅，部分活動已涉嫌刑事犯罪。相關惡意網址和惡意IP歸屬地主要涉及：美國、波蘭、荷蘭、保加利亞、土耳其、日本等。主要情況如下：

一、惡意地址信息

（一）惡意地址：j.foxnointel.ru

關聯IP地址：172.235.51.77  

歸屬地：美國/加利福尼亞州/洛杉磯

威脅類型：僵尸網絡

病毒家族：fodcha

描述：這是一種DDoS僵尸網絡木馬，通過N-Day漏洞和Telnet、SSH弱口令進行傳播。攻擊者可控制被感染的“肉雞”（聯網終端）對互聯網上的其它系統或設備發(fā)起DDoS攻擊，導致關鍵信息基礎設施或重要網絡應用癱瘓，干擾破壞國計民生和社會公共秩序。

（二）惡意地址：a.foxnointel.ru

關聯IP地址：92.223.30.136  

歸屬地：美國/加利福尼亞州/洛杉磯

威脅類型：僵尸網絡

病毒家族：fodcha

描述：這是一種DDoS僵尸網絡木馬，通過N-Day漏洞和Telnet、SSH弱口令進行傳播。攻擊者可控制被感染的“肉雞”（聯網終端）對互聯網上的其它系統或設備發(fā)起DDoS攻擊，導致關鍵信息基礎設施或重要網絡應用癱瘓，干擾破壞國計民生和社會公共秩序。

（三）惡意地址：93.157.106.238

歸屬地：保加利亞/索非亞州/索非亞

威脅類型：僵尸網絡

病毒家族：mirai

描述：這是一種Linux僵尸網絡病毒，通過網絡下載、漏洞利用、Telnet和SSH暴力破解等方式進行擴散，入侵成功后可對目標網絡系統發(fā)起分布式拒絕服務（DDos）攻擊。

（四）惡意地址：LOADINGBOATS.DYN

關聯IP地址：89.36.160.67  

歸屬地：波蘭/馬佐夫舍省/華沙

威脅類型：僵尸網絡

病毒家族：catddos

描述：Catddos病毒家族主要通過IoT設備的N-Day漏洞進行傳播，已公開樣本包括CVE-2023-46604、CVE-2021-22205等，該惡意地址是相關病毒家族近期有效活躍的回連地址。

（五）惡意地址：95.214.27.194

歸屬地：荷蘭/北荷蘭省/阿姆斯特丹

威脅類型：僵尸網絡

病毒家族：moobot

描述：這是一種Mirai僵尸網絡的變種，常借助各種IoT設備漏洞例如CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等進行入侵，攻擊者在成功入侵設備后將下載MooBot的二進制文件并執(zhí)行，進而組建僵尸網絡并可能發(fā)起分布式拒絕服務（DDos）攻擊。

（六）惡意地址：dovahnoh1.duckdns.org

關聯IP地址：88.227.180.194   

歸屬地：土耳其/阿達納省/塞伊漢

威脅類型：網絡后門

病毒家族：Asyncrat

描述：該惡意地址關聯多個Asyncrat病毒家族樣本，部分樣本的MD5值為0afe92d70093444605979eafa2afca4d和24d5b4b63fe3f30c9a399f0c76196104。該網絡后門采用C#語言編寫，主要功能包括屏幕監(jiān)控、鍵盤記錄、密碼獲取、文件竊取、進程管理、開關攝像頭、交互式SHELL，以及訪問特定URL等。該木馬通過移動介質、網絡釣魚等方式進行傳播，現已發(fā)現多個關聯變種，部分變種主要針對民生領域的聯網系統。

（七）惡意地址：134.122.138.230:7021

歸屬地：日本/東京都/東京

威脅類型：網絡后門

病毒家族：SilverFox

描述：該惡意地址關聯SilverFox病毒家族樣本，其MD5值為bfc4b93fade57ead4fa15d37aef94760，相關樣本通過釣魚郵件進行傳播，經變種偽裝成企業(yè)內部應用軟件誘騙用戶下載點擊。    

二、排查方法

（一）詳細查看分析瀏覽器記錄以及網絡設備中近期流量和DNS請求記錄，查看是否有以上惡意地址連接記錄，如有條件可提取源IP、設備信息、連接時間等信息。

（二）在本單位應用系統中部署網絡流量檢測設備進行流量數據分析，追蹤與上述網絡和IP發(fā)起通信的設備網上活動痕跡。

（三）如果能夠成功定位到遭受攻擊的聯網設備，可主動對這些設備進行勘驗取證，進而組織技術分析。

三、處置建議

（一）對所有通過社交平臺或電子郵件渠道接收的文件和鏈接保持高度警惕，重點關注其中來源未知或不可信的情況，不要輕易信任或打開相關文件。

（二）及時在威脅情報產品或網絡出口防護設備中更新規(guī)則，堅決攔截以上惡意網址和惡意IP的訪問。

（三）向有關部門及時報告，配合開展現場調查和技術溯源。