国家网络安全通报中心发布重点防范境外恶意网址和恶意IP（续五）

中国国家网络与信息安全信息通报中心通过支撑单位发现一批境外恶意网址和恶意IP，境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、挖矿木马、远程控制、后门利用等，对中国国内联网单位和互联网用户构成重大威胁。相关恶意网址和恶意IP归属地主要涉及：美国、荷兰、英国等。主要情况如下：

一、恶意地址信息

（一）恶意地址：ret.6bc.us

关联IP地址：173.109.82.78

归属地：美国/佛罗里达州/迈阿密

威胁类型：僵尸网络

病毒家族：Purple Fox

描述：Purple Fox是一种功能复杂的恶意软件，具备后门、持久化、信息窃取和传播能力，一般通过漏洞利用和钓鱼攻击方式传播，对系统和网络安全构成威胁。防御措施包括及时更新系统、安装安全软件、提高用户意识和加强网络监控。

（二）恶意地址：morphed.ru

关联IP地址：34.219.59.42

归属地：美国/俄勒冈州/波特兰

威胁类型：木马远控

病毒家族：Gamarue

描述：Gamarue是一种木马，某些变种为蠕虫。Gamarue可通过可移动驱动器、垃圾邮件和木马下载器、漏洞利用工具包进行传播。一旦感染设备，病毒会在临时文件夹中生成一个随机文件名的病毒主体，并在注册表创建自启动项；病毒感染可移动存储设备后，会生成文件autorun.inf和一个以U盘卷标+容量命名的快捷方式，并将原U盘所有文件转移到一个隐藏文件夹中。

（三）恶意地址：cinskw.net

关联IP地址：15.197.148.33

归属地：美国

威胁类型：远控木马

病毒家族：silverfox

描述：银狐组织（silverfox），又名“谷堕大盗”，是一个专业从事黑灰产的攻击组织。该攻击组织此前主要针对金融、证券、教育及设计行业，不仅通过使用SEO网站优化使得相关钓鱼网站搜索排名领先，然后诱导用户下载安装木马文件，还通过把木马文件伪装成各种常见的工具、微信聊天记录或者是与金融相关的新闻热点事件和相关教学视频等，诱骗员工点击安装木马文件，从而为后续入侵企业办公网提供入口。该团伙通过控制受害主机权限，在系统内长期驻留、监控用户日常操作、窃取敏感信息，利用受害者的即时通信软件来发送具有针对性的钓鱼、欺诈类信息，实施钓鱼攻击和诈骗等违法行为。

（四）恶意地址：superyou.zapto.org

关联IP地址：44.209.47.121

归属地：美国/弗吉尼亚州/阿什本

威胁类型：远控木马

病毒家族：autoit

描述：AutoIt是一种通过AutoIT脚本语言编写的木马病毒。由于AutoIt解释器本身属于合法程序，黑客可以把恶意代码藏在脚本文件中，从而灵活地创建恶意软件，且在系统中没有独立进程存在，造成其存活周期延长。AutoIt会通过创建注册表创建开机自启动，运行时该病毒会检查自身运行环境，如果检测到虚拟环境则会自行终止。此外，该病毒还可以感染计算机全部磁盘，并驻留内存与服务器通信，实施远程控制。

（五）恶意地址：oeihefoeaboeubfuo.ru

关联IP地址：44.200.87.10

归属地：美国/弗吉尼亚州/阿什本

威胁类型：远控木马

病毒家族：Phorpiex

描述：Phorpiex是一种木马，主要用于构建僵尸网络，感染Windows设备并通过USB驱动器、可移动存储和垃圾邮件传播。它通过弱口令暴力破解用户凭证并传播到网络中的其他PC。感染后，Phorpiex会修改注册表实现自启动，允许后门访问和控制，并尝试连接IRC服务器以执行恶意操作，如下载文件、发动拒绝服务攻击（SYN flood）等。此外，Phorpiex还会下载勒索软件，加密文件并勒索赎金，并新增了感染32位PE文件的功能，会下发Avaddon勒索病毒。

（六）恶意地址：pywolwnvd.biz

关联IP地址：34.219.59.42

归属地：美国/俄勒冈州/波特兰

威胁类型：远控木马

病毒家族：krypt

描述：Krypt（也称为Kryptik）是一种多功能的恶意软件家族，主要针对Windows系统。它通常通过钓鱼邮件、恶意广告或捆绑软件方式传播，具有窃取信息、下载其他恶意软件以及持久化感染的能力。

（七）恶意地址：hacked13.no-ip.info

关联IP地址：104.36.180.25

归属地：远控木马

威胁类型：加拿大/安大略省/多伦多

病毒家族：Poison

描述：Poison是一种后门木马，攻击者会获得未授予的权限进而控制失陷主机。该木马通过注入其他进程来隐藏自身，功能具有下载和上传文件、键盘记录、信息窃取等功能。

（八）恶意地址：donate.v2.xmrig.com

关联IP地址：178.128.242.134

归属地：荷兰/北荷兰省/阿姆斯特丹

威胁类型：挖矿木马

病毒家族：Minepool

描述：Minepool是一种加密货币挖矿池。该矿池可挖掘比特币、科莫多、Litecoinz、Snowgem和Votecoin等多种货币，通过组建一组协作的矿工来运作，利用其他挖矿病毒进行挖矿相关任务。

（九）恶意地址：z.totonm.com

关联IP地址：193.62.37.224

归属地：英国/英格兰/伦敦

威胁类型：挖矿木马

病毒家族：WannaMine

描述：WannaMine是一种挖矿木马，2017年10月发现之初，主要利用“永恒之蓝”(EternalBlue)漏洞进行传播，后来逐步增加通过ssh/telnet暴力破解，利用CVE-2017-0213、CVE-2016-5195等漏洞辅助入侵提升控制权限，主要挖取门罗币。WannaMine最新版本新增了组合与免杀功能，且功能模块独立化，每个模块在攻击流程中都具备明确角色和任务，有效避免单个组织功能模块被关联分析，攻击目标方向由Windows系统扩展至Linux环境，并能够构造僵尸网络，为其他黑客组织提供武器。

（十）恶意地址：anam0rph.su

关联IP地址：18.141.10.107 

归属地：新加坡

威胁类型：后门木马

病毒家族：andromeda

描述：Andromeda是一种模块化的后门木马。最原始的病毒仅包含一个加载器，在其运行期间会从C&C服务器上下载相关模块和更新，它同时也拥有反虚拟机和反调试的功能。病毒可以通过使用Rootkit隐藏与自身相关的进程、文件和注册表项。此外，病毒还会控制感染主机构建僵尸网络，用于分发其它病毒，也可能会下载其它病毒进入系统，还可能会进行其他如DoS/DDoS拒绝服务攻击等恶意活动。

二、排查方法

（一）详细查看分析浏览器记录以及网络设备中近期流量和DNS请求记录，查看是否有以上恶意地址连接记录，如有条件可提取源IP、设备信息、连接时间等信息进行深入分析。

（二）在本单位应用系统中部署网络流量检测设备进行流量数据分析，追踪与上述网络和IP发起通信的设备网上活动痕迹。

（三）如果能够成功定位到遭受攻击的联网设备，可主动对这些设备进行勘验取证，进而组织技术分析。

三、处置建议

（一）对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕，重点关注其中来源未知或不可信的情况，不要轻易信任或打开相关文件。

（二）及时在威胁情报产品或网络出口防护设备中更新规则，坚决拦截以上恶意网址和恶意IP的访问。