中國國家網絡與信息安全信息通報中心通過支撐單位發現一批境外惡意網址和惡意IP，境外黑客組織利用這些網址和IP持續對中國和其他國家發起網絡攻擊。這些惡意網址和IP都與特定木馬程序或木馬程序控制端密切關聯，網絡攻擊類型包括建立僵尸網絡、挖礦木馬、遠程控制、后門利用等，對中國國內聯網單位和互聯網用戶構成重大威脅。相關惡意網址和惡意IP歸屬地主要涉及：美國、荷蘭、英國等。主要情況如下：

一、惡意地址信息

（一）惡意地址：ret.6bc.us

關聯IP地址：173.109.82.78

歸屬地：美國/佛羅里達州/邁阿密

威脅類型：僵尸網絡

病毒家族：Purple Fox

描述：Purple Fox是一種功能復雜的惡意軟件，具備后門、持久化、信息竊取和傳播能力，一般通過漏洞利用和釣魚攻擊方式傳播，對系統和網絡安全構成威脅。防御措施包括及時更新系統、安裝安全軟件、提高用戶意識和加強網絡監控。

（二）惡意地址：morphed.ru

關聯IP地址：34.219.59.42

歸屬地：美國/俄勒岡州/波特蘭

威脅類型：木馬遠控

病毒家族：Gamarue

描述：Gamarue是一種木馬，某些變種為蠕蟲。Gamarue可通過可移動驅動器、垃圾郵件和木馬下載器、漏洞利用工具包進行傳播。一旦感染設備，病毒會在臨時文件夾中生成一個隨機文件名的病毒主體，并在注冊表創建自啟動項；病毒感染可移動存儲設備后，會生成文件autorun.inf和一個以U盤卷標+容量命名的快捷方式，并將原U盤所有文件轉移到一個隱藏文件夾中。

（三）惡意地址：cinskw.net

關聯IP地址：15.197.148.33

歸屬地：美國

威脅類型：遠控木馬

病毒家族：silverfox

描述：銀狐組織（silverfox），又名“谷墮大盜”，是一個專業從事黑灰產的攻擊組織。該攻擊組織此前主要針對金融、證券、教育及設計行業，不僅通過使用SEO網站優化使得相關釣魚網站搜索排名領先，然后誘導用戶下載安裝木馬文件，還通過把木馬文件偽裝成各種常見的工具、微信聊天記錄或者是與金融相關的新聞熱點事件和相關教學視頻等，誘騙員工點擊安裝木馬文件，從而為后續入侵企業辦公網提供入口。該團伙通過控制受害主機權限，在系統內長期駐留、監控用戶日常操作、竊取敏感信息，利用受害者的即時通信軟件來發送具有針對性的釣魚、欺詐類信息，實施釣魚攻擊和詐騙等違法行為。

（四）惡意地址：superyou.zapto.org

關聯IP地址：44.209.47.121

歸屬地：美國/弗吉尼亞州/阿什本

威脅類型：遠控木馬

病毒家族：autoit

描述：AutoIt是一種通過AutoIT腳本語言編寫的木馬病毒。由于AutoIt解釋器本身屬于合法程序，黑客可以把惡意代碼藏在腳本文件中，從而靈活地創建惡意軟件，且在系統中沒有獨立進程存在，造成其存活周期延長。AutoIt會通過創建注冊表創建開機自啟動，運行時該病毒會檢查自身運行環境，如果檢測到虛擬環境則會自行終止。此外，該病毒還可以感染計算機全部磁盤，并駐留內存與服務器通信，實施遠程控制。

（五）惡意地址：oeihefoeaboeubfuo.ru

關聯IP地址：44.200.87.10

歸屬地：美國/弗吉尼亞州/阿什本

威脅類型：遠控木馬

病毒家族：Phorpiex

描述：Phorpiex是一種木馬，主要用于構建僵尸網絡，感染Windows設備并通過USB驅動器、可移動存儲和垃圾郵件傳播。它通過弱口令暴力破解用戶憑證并傳播到網絡中的其他PC。感染后，Phorpiex會修改注冊表實現自啟動，允許后門訪問和控制，并嘗試連接IRC服務器以執行惡意操作，如下載文件、發動拒絕服務攻擊（SYN flood）等。此外，Phorpiex還會下載勒索軟件，加密文件并勒索贖金，并新增了感染32位PE文件的功能，會下發Avaddon勒索病毒。

（六）惡意地址：pywolwnvd.biz

關聯IP地址：34.219.59.42

歸屬地：美國/俄勒岡州/波特蘭

威脅類型：遠控木馬

病毒家族：krypt

描述：Krypt（也稱為Kryptik）是一種多功能的惡意軟件家族，主要針對Windows系統。它通常通過釣魚郵件、惡意廣告或捆綁軟件方式傳播，具有竊取信息、下載其他惡意軟件以及持久化感染的能力。

（七）惡意地址：hacked13.no-ip.info

關聯IP地址：104.36.180.25

歸屬地：遠控木馬

威脅類型：加拿大/安大略省/多倫多

病毒家族：Poison

描述：Poison是一種后門木馬，攻擊者會獲得未授予的權限進而控制失陷主機。該木馬通過注入其他進程來隱藏自身，功能具有下載和上傳文件、鍵盤記錄、信息竊取等功能。

（八）惡意地址：donate.v2.xmrig.com

關聯IP地址：178.128.242.134

歸屬地：荷蘭/北荷蘭省/阿姆斯特丹

威脅類型：挖礦木馬

病毒家族：Minepool

描述：Minepool是一種加密貨幣挖礦池。該礦池可挖掘比特幣、科莫多、Litecoinz、Snowgem和Votecoin等多種貨幣，通過組建一組協作的礦工來運作，利用其他挖礦病毒進行挖礦相關任務。

（九）惡意地址：z.totonm.com

關聯IP地址：193.62.37.224

歸屬地：英國/英格蘭/倫敦

威脅類型：挖礦木馬

病毒家族：WannaMine

描述：WannaMine是一種挖礦木馬，2017年10月發現之初，主要利用“永恒之藍”(EternalBlue)漏洞進行傳播，后來逐步增加通過ssh/telnet暴力破解，利用CVE-2017-0213、CVE-2016-5195等漏洞輔助入侵提升控制權限，主要挖取門羅幣。WannaMine最新版本新增了組合與免殺功能，且功能模塊獨立化，每個模塊在攻擊流程中都具備明確角色和任務，有效避免單個組織功能模塊被關聯分析，攻擊目標方向由Windows系統擴展至Linux環境，并能夠構造僵尸網絡，為其他黑客組織提供武器。

（十）惡意地址：anam0rph.su

關聯IP地址：18.141.10.107

歸屬地：新加坡

威脅類型：后門木馬

病毒家族：andromeda

描述：Andromeda是一種模塊化的后門木馬。最原始的病毒僅包含一個加載器，在其運行期間會從C&C服務器上下載相關模塊和更新，它同時也擁有反虛擬機和反調試的功能。病毒可以通過使用Rootkit隱藏與自身相關的進程、文件和注冊表項。此外，病毒還會控制感染主機構建僵尸網絡，用于分發其它病毒，也可能會下載其它病毒進入系統，還可能會進行其他如DoS/DDoS拒絕服務攻擊等惡意活動。

二、排查方法

（一）詳細查看分析瀏覽器記錄以及網絡設備中近期流量和DNS請求記錄，查看是否有以上惡意地址連接記錄，如有條件可提取源IP、設備信息、連接時間等信息進行深入分析。

（二）在本單位應用系統中部署網絡流量檢測設備進行流量數據分析，追蹤與上述網絡和IP發起通信的設備網上活動痕跡。

（三）如果能夠成功定位到遭受攻擊的聯網設備，可主動對這些設備進行勘驗取證，進而組織技術分析。

三、處置建議

（一）對所有通過社交平臺或電子郵件渠道接收的文件和鏈接保持高度警惕，重點關注其中來源未知或不可信的情況，不要輕易信任或打開相關文件。

（二）及時在威脅情報產品或網絡出口防護設備中更新規則，堅決攔截以上惡意網址和惡意IP的訪問。

（三）向公安機關及時報告，配合開展現場調查和技術溯源。

參考及來源：國家網絡安全通報中心