中国国度汇集与信息安全信息通报中心发现一批境外坏心网址和坏心IP,境外黑客组织哄骗这些网址和IP执续对中国和其他国度发起汇集挫折。这些坏心网址和IP王人与特定木马样式或木马样式末端端密切关联,汇集挫折类型包括成立僵尸汇集、汇集垂钓、窃取交易好意思妙和常识产权、滋扰公民个东说念主信息等,对中国国内联网单元和互联网用户组成关键威迫CYL688.VIP,部分举止已涉嫌刑事违警。关系坏心网址和坏心IP包摄田主要波及:好意思国、荷兰、新加坡、土耳其、墨西哥、越南等。主要情况如下:
一、坏心地址信息
(一)坏心地址:gael2024.kozow.com
关联IP地址:149.28.98.229
包摄地:好意思国/佛罗里达州/迈阿密
威迫类型:后门
病毒家眷:AsyncRAT
形容:该坏心地址关联多个AsyncRAT病毒家眷样本,部分样本的MD5值为50860f067b266d6a370379e8bcd601ba。关系后门样式弃取C#话语编写,主邀功能包括屏幕监控、键盘记载、密码获取、文献窃取、进度经管、开关录像头、交互式shell,以及打听特定URL等。这些病毒可通过出动存储介质、汇集垂钓邮件等现象进行传播,现已发现多个关联变种,部分变种主要针对中国境内民生领域的紧迫联网系统。
(二)坏心地址:185.174.101.218
包摄地:好意思国/加利福尼亚州/洛杉矶
威迫类型:后门
病毒家眷:RemCos
形容:该坏心地址关联到多个RemCos病毒家眷样本,部分样本的MD5值为56f94f8aed310e90b5f513b1eb999c69。RemCos是一款汉典经管用具,自2016年起就已存在。挫折者不错哄骗受感染系统的后门打听权限汇集敏锐信息并汉典末端系统。最新版块的RemCos不错奉行多样坏心举止,包括键盘记载、截取屏幕截图和窃取密码。
(三)坏心地址:counterstrike2-cheats.com
关联IP地址:45.137.198.211
包摄地:荷兰/北荷兰省/阿姆斯特丹
威迫类型:僵尸汇集
病毒家眷:miraiCYL688.VIP
形容:这是一种Linux僵尸汇集病毒,通过汇集下载、辗转哄骗、Telnet和SSH暴力破解等现象进行扩散,入侵凯旋后可对主义汇集系统发起散布式闭幕办事(DDoS)挫折。
(四)坏心地址:bot.merisprivate.net
关联IP地址:194.120.230.54
包摄地:荷兰/北荷兰省/阿姆斯特丹
威迫类型:僵尸汇集
病毒家眷:mirai
形容:这是一种Linux僵尸汇集病毒,通过汇集下载、辗转哄骗、Telnet和SSH暴力破解等现象进行扩散,入侵凯旋后可对主义汇集系统发起散布式闭幕办事(DDoS)挫折。
(五)坏心地址:localvpn.anondns.net
关联IP地址:37.120.141.162
包摄地:荷兰/北荷兰省/阿姆斯特丹
威迫类型:后门
病毒家眷:Nanocore
形容:该坏心地址关联到Nanocore病毒家眷样本,部分样本的MD5值为954866a242963b6a2caadf0c5b7df5e1,Nanocore是一种汉典打听木马,被用于间谍举止和系统汉典末端。挫折者获取感染病毒的主机打听权限,不祥录制音频和视频、键盘记载、汇集笔据和个东说念主信息、操作文献和注册表、下载和奉行其它坏心软件负载等。Nanocore还救助插件,不祥推广达成多样坏心功能,比如挖掘加密货币,打单软件挫折等。
(六)坏心地址:bueenotgay.duckdns.org
关联IP地址:217.15.161.176
包摄地:新加坡
威迫类型:僵尸汇集
病毒家眷:MooBot
形容:这是一种Mirai僵尸汇集的变种,常借助多样IoT开荒辗转举例CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等实施入侵,挫折凯旋后,受害开荒将下载并奉行MooBot的二进制文献,进而组建僵尸汇集并可能发起DDoS(散布式闭幕办事)挫折。
(七)坏心地址:sidiaisi168.com
联合新闻网报道称,台立法机构“内政委员会”16日在国民党籍民意代表强力防守下,3分钟内将主张提高罢免门槛的“选罢法”修正草案送出委员会(条文送出委员会后,经过一个月的冷冻期,草案接着可以进行二读、三读程序)。此举引发绿营民意代表不满。
台湾东森新闻云报道称,张延廷今年5月在政论节目中,彩娱乐合作加盟飞机号@yy12395针对“大陆若出兵,台军可撑几天”进行分析,他说大陆会采取快节奏攻势,根据演习天数估算,约2天内可攻陷台湾,宽松估算乘以2,则为4天。
关联IP地址:154.211.96.238
包摄地:新加坡
威迫类型:后门
病毒家眷:Farfli
形容:该坏心地址关联到多个Farfli病毒家眷样本,部分样本的MD5值为b860f4174f47f3622d7175f1e66b49c2。Farfli是一种远控木马,不祥通过汇集下载、软件紧缚、汇集垂钓等多种现象传播。其允许汉典挫折者奉行多种远控操作,比如监控电脑屏幕、键盘记载、下载装配放浪文献、窃取狡饰信息,甚而还不错末端感染的蓄意机发起DDoS挫折。
(八)坏心地址:94.122.78.238
包摄地:土耳其/伊斯坦布尔省/伊斯坦布尔
威迫类型:僵尸汇集
病毒家眷:gafgyt
形容:这是一种基于因特网中继聊天(IRC)条约的物联网僵尸汇集病毒,主要通过辗转哄骗和内置的用户名、密码字典进行Telnet和SSH暴力破解等现象进行扩散传播。可对汇集开荒进行扫描,挫折汇集录像机、路由器等IoT开荒,挫折凯旋后,哄骗僵尸样式形成僵尸汇集,对主义汇集系统发起散布式闭幕办事(DDoS)挫折,可能形成大面积汇集瘫痪。
(九)坏心地址:windowwork.duckdns.org
关联IP地址:103.88.234.204
包摄地:墨西哥/墨西哥联邦区/墨西哥城
威迫类型:后门
病毒家眷:RemCos
形容:该坏心地址关联到多个RemCos病毒家眷样本,部分样本的MD5值为6dfbc8b366bd1f4ebd33695b8f8fa521。RemCos是一款汉典经管用具,自2016年起就已存在。挫折者不错哄骗受感染系统的后门打听权限汇集敏锐信息并汉典末端系统。最新版块的RemCos不错奉行多样坏心举止,包括键盘记载、截取屏幕截图和窃取密码。
(十)坏心地址:cnc.loctajima.website
关联IP地址:103.28.35.146
包摄地:越南/胡志明市
威迫类型:僵尸汇集
病毒家眷:MooBot
形容:这是一种Mirai僵尸汇集的变种,常借助多样IoT开荒辗转举例CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等实施入侵,挫折凯旋后,受害开荒将下载并奉行MooBot的二进制文献,进而组建僵尸汇集并可能发起DDoS(散布式闭幕办事)挫折。
二、排查轨范
(一)详备稽查分析浏览器记载以及汇集开荒中近期流量和DNS央求记载,稽查是否有以上坏心地址聚首记载,如有条款可索取源IP、开荒信息、聚首时辰等信息进行长远分析。
(二)在本单元应用系统中部署汇集流量检测开荒进行流量数据分析,跟踪与上述汇集和IP发起通讯的开荒网上举止陈迹。
(三)要是不祥凯旋定位到遭遇挫折的联网开荒,可主动对这些开荒进行勘验取证,进而组织时间分析。
三、解决提出
(一)对通盘通过外交平台或电子邮件渠说念经受的文献和一语气保执高度警惕,重心关心其中着手未知或不能信的情况,不要减弱信任或通达关系文献。
(二)实时在威迫谍报产物或汇集出口防卫开荒中更新端正,矍铄阻止以上坏心网址和坏心IP的打听。
(三)向斟酌部门实时陈述,相助开展现场窥探和时间溯源。
着手:国度汇集安全通报中心微信公号CYL688.VIP