境外黑客组织持续发起网络攻击，多类恶意地址威胁网络安全

中国网12月3日，根据据国家网络安全通报中心微信公众号权威发布，国家网络与信息安全信息通报中心通过支撑单位监测发现，一批境外恶意网址及关联IP正被黑客组织利用，持续对中国及其他国家发起针对性网络攻击。这些恶意地址均与特定木马程序或其控制端深度绑定，攻击类型涵盖建立僵尸网络、利用后门入侵等高危行为，已对国内联网单位的网络安全和互联网用户的信息安全构成重大威胁。经核查，相关恶意网址及IP的归属地主要涉及美国、英国、德国、荷兰、克罗地亚、塞浦路斯、巴西、土耳其、保加利亚等9个国家。

一、重点恶意地址及威胁详情

1、恶意地址：godwilling.duckdns.org，关联IP：107.175.148.116，归属地：美国纽约州布法罗

威胁类型：后门，病毒家族：RemCos

描述：RemCos作为2016年问世的远程管理工具，其最新版本具备强大的恶意攻击能力，可执行键盘记录、屏幕截图、密码窃取等操作。攻击者通过后门权限，能非法收集受感染系统的敏感信息，并实现对设备的远程操控，风险等级极高。

2、恶意地址：ihatefaggots.cc，关联IP：158.94.209.205，归属地：英国英格兰伦敦

威胁类型：后门，病毒家族：Tasker

描述：该远程控制木马入侵系统后，会自动安装至%AppData%或%ProgramData%目录，通过创建任务计划实现持久化运行。连接C&C服务器后，攻击者可获取被感染计算机的敏感信息、用户凭据，执行远程命令、下载恶意文件，甚至发起DDoS攻击，部分变种还会借助Tor网络实现匿名通信，隐蔽性极强。

3、恶意地址：vmr3b.bounceme.net，关联IP：41.216.189.110，归属地：德国黑森州美因河畔法兰克福

威胁类型：僵尸网络，病毒家族：Mirai

描述：经典Linux僵尸网络病毒，通过网络下载、漏洞利用、Telnet及SSH暴力破解等方式快速扩散，入侵成功后可对目标网络发起分布式拒绝服务（DDoS）攻击，极易造成网络拥堵或瘫痪。

4、恶意地址：antizerolant-monogevudom.info，关联IP：85.17.31.82，归属地：荷兰北荷兰省阿姆斯特丹

威胁类型：僵尸网络，病毒家族：MooBot

描述：Mirai僵尸网络变种，专门针对IoT设备漏洞（如CVE-2015-2051、CVE-2018-6530等）发起攻击，入侵后下载并执行MooBot二进制文件，组建僵尸网络并发起DDoS攻击，对智能家居、工业物联网设备构成严重威胁。

5、恶意地址：danielaespeleta708090.duckdns.org，关联IP：45.88.186.251，归属地：荷兰北荷兰省阿姆斯特丹

威胁类型：后门，病毒家族：Crysan

描述：具备反检测功能的后门木马，运行时先检测虚拟机、沙箱环境以规避查杀，随后复制自身至特定文件夹，通过任务计划、开机启动文件夹、注册表等方式实现自启动。连接远程C&C服务器后，可执行文件下载、数据收集等恶意操作，主要通过网络钓鱼、不安全网站下载等途径传播。

恶意地址：45.95.169.105，归属地：克罗地亚锡萨克-莫斯拉维纳县西萨克

威胁类型：僵尸网络，病毒家族：Gafgyt

描述：基于IRC协议的物联网僵尸网络病毒，通过漏洞利用、Telnet/SSH暴力破解（内置用户名密码字典）扩散，重点攻击网络摄像机、路由器等IoT设备，组建僵尸网络后发起DDoS攻击，可能引发大面积网络瘫痪。

6、恶意地址：194.30.129.226，归属地：塞浦路斯尼科西亚区尼科西亚

威胁类型：僵尸网络，病毒家族：Gafgyt

描述：与上述Gafgyt病毒特性一致，通过暴力破解、漏洞利用入侵IoT设备，组建僵尸网络发起DDoS攻击，对物联网生态及公共网络安全构成重大威胁。

7、恶意地址：sophos1997.camdvr.org，关联IP：191.19.217.13，归属地：巴西圣保罗州然迪拉

威胁类型：僵尸网络，病毒家族：Mirai

描述：典型Linux僵尸网络病毒，借助网络下载、漏洞利用、暴力破解等方式扩散，入侵后发起DDoS攻击，严重威胁目标网络的稳定性。

8、恶意地址：weefaf.duckdns.org，关联IP：213.238.187.95，归属地：土耳其伊斯坦布尔

威胁类型：后门，病毒家族：DarkKomet

描述：可视化远程控制后门程序，运行后可修改系统设置、记录键盘操作、截取屏幕、捕获音视频，通过套接字与控制服务器建立连接，响应远程命令执行文件下载、程序启动、脚本运行等操作，隐蔽性和破坏性极强。

9、恶意地址：ratmainz.ink，关联IP：91.92.243.128，归属地：保加利亚大特尔诺沃州斯维什托夫

威胁类型：后门，病毒家族：RemCos

描述：与首款RemCos病毒功能一致，可实现键盘记录、截图、密码窃取、远程控制等恶意操作，攻击者通过后门权限非法收集敏感信息，对个人及企业数据安全造成严重危害。

二、网络安全排查方法

面对上述境外网络威胁，联网单位及相关机构需迅速开展排查工作，具体方法如下：

1、全面核查浏览器访问记录、网络设备近期流量数据及DNS请求记录，重点排查是否存在与上述恶意地址的连接痕迹，条件允许时提取源IP、设备信息、连接时间等数据开展深度分析。

2、在应用系统中部署网络流量检测设备，对与恶意网址、IP的通信行为进行追踪，锁定相关设备的网络活动轨迹。

3、若定位到遭受攻击的联网设备，立即开展勘验取证工作，为技术分析和后续处置提供支撑。

三、安全处置建议与防护提示

为有效抵御境外网络攻击，保障网络与信息安全，结合帝恩思的防护技术优势，提出以下处置建议：

1、强化终端安全意识：对社交平台、电子邮件接收的未知来源文件、链接保持高度警惕，坚决不轻易打开或下载，从源头规避感染风险。

2、升级防护规则与设备：及时在威胁情报产品、网络出口防护设备中更新恶意地址拦截规则，依托帝恩思的DNS安全防护能力，可实现对恶意网址的精准识别与实时拦截，借助其全球威胁情报库与智能分析技术，提前阻断恶意连接，降低入侵概率。

3、及时上报配合溯源：发现攻击痕迹后，第一时间向公安机关报告，配合开展现场调查与技术溯源工作，最大限度降低损失；

4、优化整体防护体系：联网单位可结合帝恩思的网络安全解决方案，构建“检测-拦截-溯源-响应”的全流程防护机制，针对僵尸网络、后门入侵等典型威胁，通过DNS层面的精准防护与终端、网络层防护形成协同，全面提升抵御境外网络攻击的能力。

当前，境外网络攻击呈现专业化、隐蔽化、规模化趋势，恶意地址与木马程序的联动攻击对网络安全构成严峻挑战。建议各联网单位及互联网用户高度重视此次通报的威胁信息，迅速落实排查与防护措施，充分借助帝恩思等专业安全技术与服务，筑牢网络安全防线，共同维护网络空间的安全与稳定。