国家网络安全通报中心通报一批境外恶意网址和恶意 IP

12月3日，国家网络安全通报中心发布信息称，中国国家网络与信息安全信息通报中心通过技术支撑单位监测发现一批境外恶意网址和恶意IP。境外黑客组织正利用这些地址持续对中国及其他国家发起网络攻击。此次发现的恶意网址和IP均与特定木马程序或其控制端存在紧密关联，攻击行为涵盖僵尸网络构建、后门入侵等类型，已对我国联网机构及互联网用户的安全构成严重威胁。

涉及的恶意IP和域名主要分布于美国、英国、德国、荷兰、克罗地亚、塞浦路斯、巴西、土耳其和保加利亚等地。具体情况如下：

一、恶意地址详情

（一）恶意地址：godwilling.duckdns.org
关联IP：107.175.148.116
地理位置：美国 / 纽约州 / 布法罗
威胁类别：后门
病毒家族：RemCos
说明： RemCos是一款始于2016年的远程管理工具，当前版本具备键盘记录、屏幕截图截取和密码窃取等能力。攻击者可借此建立系统后门，实现敏感信息收集与远程主机控制。

（二）恶意地址：ihatefaggots.cc
关联IP：158.94.209.205
地理位置：英国 / 英格兰 / 伦敦
威胁类别：后门
病毒家族：Tasker
说明： 此为一种远程控制型木马，感染后会驻留在%AppData%或%ProgramData%目录，并通过创建计划任务维持持久化运行。连接C&C服务器后，攻击者可获取用户凭据、执行远程指令、下载任意文件，甚至发起DDoS攻击。部分变种集成Tor组件，利用暗网通道进行隐蔽通信。

（三）恶意地址：vmr3b.bounceme.net
关联IP：41.216.189.110
地理位置：德国 / 黑森州 / 美因河畔法兰克福
威胁类别：僵尸网络
病毒家族：Mirai
说明： 该病毒属于Linux平台的僵尸网络程序，通过漏洞利用、Telnet/SSH暴力破解等方式传播，成功入侵后可用于发动大规模DDoS攻击。

（四）恶意地址：antizerolant-monogevudom.info
关联IP：85.17.31.82
地理位置：荷兰 / 北荷兰省 / 阿姆斯特丹
威胁类别：僵尸网络
病毒家族：MooBot
说明： 作为Mirai的一个变种，MooBot常利用CVE-2015-2051、CVE-2018-6530、CVE-2022-26258、CVE-2022-28958等IoT设备漏洞进行渗透，下载并运行恶意二进制文件，组建僵尸网络以实施DDoS攻击。

（五）恶意地址：danielaespeleta708090.duckdns.org
关联IP：45.88.186.251
地理位置：荷兰 / 北荷兰 / 阿姆斯特丹
威胁类别：后门
病毒家族：Crysan
说明： 该后门木马具备反分析机制，运行时首先检测是否处于虚拟机或沙箱环境（如VMWARE、SbieDll.dll）。随后复制自身至指定路径，并通过注册表、启动项或计划任务实现自启。最终连接远控服务器接收指令，执行文件下载、数据窃取等操作，通常通过钓鱼邮件或不安全网站传播。

（六）恶意地址：45.95.169.105
地理位置：克罗地亚 / 锡萨克-莫斯拉维纳县 / 西萨克
威胁类别：僵尸网络
病毒家族：Gafgyt
说明： 基于IRC协议的物联网僵尸病毒，利用设备漏洞及内置弱口令字典对Telnet/SSH服务进行爆破，广泛扫描并感染摄像头、路由器等IoT设备，形成僵尸网络后发起DDoS攻击，可能导致区域性网络中断。

（七）恶意地址：194.30.129.226
地理位置：塞浦路斯 / 尼科西亚区 / 尼科西亚
威胁类别：僵尸网络
病毒家族：Gafgyt
说明： 同属基于IRC协议的物联网僵尸网络病毒，传播方式包括漏洞利用和暴力破解。攻击成功后控制设备加入僵尸网络，用于分布式拒绝服务攻击，影响范围可能波及整个网络基础设施。

（八）恶意地址：sophos1997.camdvr.org
关联IP：191.19.217.13
地理位置：巴西 / 圣保罗州 / 然迪拉
威胁类别：僵尸网络
病毒家族：Mirai
说明： 一款针对Linux系统的僵尸网络病毒，通过远程下载、漏洞攻击以及Telnet/SSH暴力破解扩散，一旦控制设备即可用于发起DDoS攻击。

Live PPT

一款AI智能化生成演示内容的在线工具。只需输入一句话、粘贴一段内容、或者导入文件，AI生成高质量PPT。

299

查看详情

（九）恶意地址：weefaf.duckdns.org
关联IP：213.238.187.95
地理位置：土耳其 / 伊斯坦布尔 / 伊斯坦布尔
威胁类别：后门
病毒家族：DarkKomet
说明： 一种图形化界面操控的后门程序，允许攻击者修改系统设置、记录按键、截屏录音、调用摄像头，并通过Socket连接C&C服务器，执行远程命令、下载文件或运行脚本。

（十）恶意地址：ratmainz.ink
关联IP：91.92.243.128
地理位置：保加利亚 / 大特尔诺沃州 / 斯维什托夫
威胁类别：后门
病毒家族：RemCos
说明： RemCos远程管理工具，具备键盘记录、屏幕捕获和密码窃取功能，攻击者可通过后门权限远程操控受感染主机，获取敏感信息。

二、排查建议

（一）全面审查浏览器历史记录、网络设备日志中的近期流量及DNS查询记录，核查是否存在访问上述恶意地址的行为。条件允许时，应提取源IP、终端设备信息、连接时间等关键数据深入分析。

（二）在单位内部部署网络流量监测系统，开展深度流量分析，定位与上述恶意IP或域名通信的终端设备及其活动轨迹。

（三）一旦确认受攻击设备，应立即对其进行取证调查，并组织专业技术力量开展溯源分析。

三、应对措施

（一）提高警惕，谨慎对待来自社交平台或电子邮件的未知来源链接与附件，切勿随意点击或下载。

（二）及时更新防火墙、IDS/IPS、威胁情报平台等安全设备的防护规则，全面阻断对通报中所列恶意地址和IP的访问请求。

（三）发现相关攻击迹象后，应第一时间向公安机关报案，并积极配合完成现场勘查和技术追踪工作。

以上就是国家网络安全通报中心通报一批境外恶意网址和恶意 IP的详细内容，更多请关注php中文网其它相关文章！