Aggregator

中国国家网络与信息安全信息通报中心通过支撑单位发现一批境外恶意网址和恶意IP，境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联，网络攻击类型包括建立僵尸网络、后门利用等，对中国国内联网单位和互联网用户构成重大威胁。相关恶意网址和恶意IP归属地主要涉及：美国、英国、意大利、捷克、斯洛伐克、沙特阿拉伯、立陶宛。主要情况如下：

一、恶意地址信息

（一）恶意地址：sunnwin.bi

关联IP地址：104.18.1.30

归属地：美国

威胁类型：后门

病毒家族：Quasar

描述：这是一种基于.NET Framework的远程管理木马，提供文件管理、进程管理、远程桌面、远程shell、上传下载、获取系统信息、重启关机、键盘记录、窃取密码、注册表编辑等功能，常被攻击者用于信息窃取和远程控制受害者主机。

（二）恶意地址：bore.pub

关联IP地址：159.223.171.199

归属地：美国/北伯根

威胁类型：僵尸网络

病毒家族：SoftBot

描述：这是一种可在x86、arm等多个平台上运行的僵尸网络，因bot模块名为softbot.{arch}，故命名为SoftBot。该家族样本入侵成功后会植入bot模块以构建僵尸网络，可向特定网络目标发起10种形式的分布式拒绝服务（DDoS）攻击。此外，该样本运行后多会输出字符串“im in deep sorrow”。

（三）恶意地址：full.dsaj2a.org

关联IP地址：23.253.46.64

归属地：美国/伊利诺伊州/芝加哥

威胁类型：僵尸网络

病毒家族：XorDDos

描述：这是一种Linux僵尸网络病毒，主要通过内置用户名、密码字典进行Telnet和SSH暴力破解的方式扩散。其在加解密中大量使用了Xor，同时运用多态及自删除的方式随机生成进程名，可实现对网络设备进行扫描和对网络摄像机、路由器等IOT设备的攻击，攻击成功后，可利用僵尸程序形成一个僵尸网络，对目标网络发起分布式拒绝服务（DDos）攻击，造成大面积网络瘫痪或无法访问网站或在线服务。

（四）恶意地址：stopdicksucking.duckdns.org

关联IP地址：216.126.225.121

归属地：美国/犹他州/奥格登

威胁类型：僵尸网络

病毒家族：CondiBot

描述：这是一种僵尸网络，利用TP-Link Archer AX21漏洞CVE-2023-1389进行传播。攻击者通过Telegram频道@zxcr9999来推广、销售Condi以及其他僵尸网络的DDoS服务和源代码。僵尸程序可通过接收C2服务器下发的cmd指令，执行发起DDoS攻击、更新、终止程序等不同的操作。Condi支持的DDoS攻击向量包括：attack_tcp_syn、attack_tcp_ack、attack_tcp_socket、attack_tcp_thread、attack_tcp_bypass、attack_udp_plain、attack_udp_thread、attack_udp_smart。

（五）恶意地址：friendly.ydns.eu

关联IP地址：158.94.209.179

归属地：英国/英格兰/伦敦

威胁类型：后门

病毒家族：DcRat

描述：这是一种远程访问木马，采用.NET实现，能够窃取用户隐私信息（系统信息、账号信息等），根据远程指令执行多种功能：shell命令、截图、记录键盘、窃取cookie、数据上传、操纵剪贴版、删除目录、设置壁纸、发起DDoS攻击等。

（六）恶意地址：cnc.fearfulcats.tk

关联IP地址：185.225.73.158

归属地：意大利

威胁类型：僵尸网络

病毒家族：V3G4Bot

描述：这是一种针对Linux和IoT设备的僵尸网络，属于Mirai僵尸网络的一个变体，借助多个N day漏洞以及弱口令暴破进行传播。样本的敏感字符串资源经过XOR异或加密，通过与C2服务器建立通信，接收攻击者下发的指令来对指定目标发起DDoS攻击，造成大面积网络瘫痪、网站或在线服务无法访问。

（七）恶意地址：njsywvyoj.localto.net

关联IP地址：194.182.64.133

归属地：捷克/布拉格/布拉格

威胁类型：后门

病毒家族：NjRAT

描述：该后门是一种由C#编写的远程访问木马，具备屏幕监控、键盘记录、密码窃取、文件管理（上传、下载、删除、重命名文件）、进程管理（启动或终止进程）、远程激活摄像头、交互式 Shell（远程命令执行）、访问特定 URL 及其它多种恶意控制功能，通常通过移动存储介质感染、网络钓鱼邮件或恶意链接进行传播，用于非法监控、数据窃取和远程控制受害者计算机。

（八）恶意地址：hustleathem.duckdns.org

关联IP地址：212.232.22.100

归属地：斯洛伐克/布拉迪斯拉发州/布拉迪斯拉发

威胁类型：后门

病毒家族：Xworm

描述：这是一种.NET编译的后门木马，使用多种持久性和防御规避技术。收集并发送系统详细信息到C&C服务器并接收指令，功能包括键盘记录、屏幕捕获、自动更新、自毁、运行脚本、勒索软件操作、麦克风操作、摄像头监控，打开特定URL，监控活跃的窗口，进程管理，剪切板管理，远程shell执行、DDos攻击，获取地址位置，锁定屏幕，密码窃取、安装Ngrok、HVNC、隐藏RDP连接等。

（九）恶意地址：luvxc1de.ddns.net

关联IP地址：51.39.230.132

归属地：沙特阿拉伯/利雅得/利雅得

威胁类型：后门

病毒家族：AsyncRAT

描述：这是一种后门木马，采用C#语言编写，主要功能包括屏幕监控、键盘记录、密码获取、文件窃取、进程管理、开关摄像头、交互式SHELL，以及访问特定URL等。其主要通过移动介质、网络钓鱼等方式进行传播，现已发现多个关联变种，部分变种主要针对民生领域的联网系统。

（十）恶意地址：77.90.185.212

归属地：立陶宛/维尔纽斯县/维尔纽斯

威胁类型：僵尸网络

病毒家族：Mirai

描述：这是一种Linux僵尸网络病毒，通过网络下载、漏洞利用、Telnet和SSH暴力破解等方式进行扩散，入侵成功后可对目标网络系统发起分布式拒绝服务（DDoS）攻击。

二、排查方法

（一）详细查看分析浏览器记录以及网络设备中近期流量和DNS请求记录，查看是否有以上恶意地址连接记录，如有条件可提取源IP、设备信息、连接时间等信息进行深入分析。

（二）在本单位应用系统中部署网络流量检测设备进行流量数据分析，追踪与上述网址和IP发起通信的设备网上活动痕迹。

（三）如果能够成功定位到遭受攻击的联网设备，可主动对这些设备进行勘验取证，进而组织技术分析。

三、处置建议

（一）对所有通过社交平台或电子邮件渠道接收的文件和链接保持高度警惕，重点关注其中来源未知或不可信的情况，不要轻易信任或打开相关文件。

（二）及时在威胁情报产品或网络出口防护设备中更新规则，坚决拦截以上恶意网址和恶意IP的访问。

（三）向公安机关及时报告，配合开展现场调查和技术溯源。

文章来源自：国家网络安全通报中心

思科发布安全预警，称其 Cisco Catalyst SD-WAN 存在一处编号为 CVE-2026-20127 的严重认证绕过漏洞，该漏洞已在零日攻击中被主动利用，攻击者可远程攻陷控制器，并在目标网络中添加恶意非法对等节点。

CVE-2026-20127 漏洞风险等级为最高 10.0 分，影响本地部署与云部署环境中的 Cisco Catalyst SD-WAN Controller（原 vSmart）与 Cisco Catalyst SD-WAN Manager（原 vManage）。 

在思科发布的关于 CVE-2026-20127 的最新公告指出：“该漏洞的成因是受影响系统中的对等节点认证机制未能正常工作。攻击者可通过向受影响系统发送精心构造的请求实施利用。”

成功利用后，攻击者能够以内部高权限非 root 用户身份登录受影响的 Cisco Catalyst SD-WAN 控制器，并借助该账户访问 NETCONF 接口，进而篡改整个 SD-WAN 架构的网络配置。

Cisco Catalyst SD-WAN 是一款软件定义网络平台，通过集中管理系统连接分支机构、数据中心与云环境，由控制器对站点间流量进行加密安全转发。 

通过添加非法对等节点，攻击者可将一台看似合法的恶意设备接入 SD-WAN 环境。该设备可建立加密连接、宣告由攻击者控制的网络路由，进而向企业内网深度渗透。 

思科 Talos 团队在另一份公告中证实，该漏洞已被在野攻击利用，相关恶意活动编号为 UAT-8616。评估显示，该攻击由高度专业化的恶意组织实施。

监测数据显示，相关利用行为最早可追溯至 2023 年。情报信息表明，攻击者可能通过以下方式提权至 root：

1. 将系统降级至旧版本；

2. 利用 CVE-2022-20775 获取 root 权限；

3. 再恢复至原固件版本。 

攻击完成后回退版本，可在获取 root 权限的同时规避检测。

2 月 25 日，美国网络安全与基础设施安全局（CISA）发布紧急指令 26-03，要求联邦行政机构对 Cisco SD-WAN 系统开展资产清查、收集取证痕迹、开启日志外存、安装补丁更新，并排查与 CVE-2026-20127 和 CVE-2022-20775 相关的入侵痕迹。 

CISA 表示，该漏洞利用行为对联邦网络构成紧迫威胁，要求相关设备必须在 2026 年 2 月 27 日 17:00 前完成补丁安装。

CISA 与英国国家网络安全中心（NCSC）联合发布的排查与加固指南表示：全球范围内的 Cisco Catalyst SD-WAN 部署正成为攻击目标，恶意分子通过添加非法对等节点，进一步获取 root 权限并实现持久化控制。

多份公告均强调：SD-WAN 管理接口严禁直接暴露在互联网，并敦促机构立即更新与加固受影响系统。使用 Cisco Catalyst SD-WAN 的机构应紧急排查网络入侵风险，结合发布的威胁狩猎指南，识别入侵痕迹。

目前，思科已发布修复该漏洞的软件更新，并表示不存在可完全缓解该漏洞的临时解决方案。

入侵指标（IOC）

安全研究人员强烈建议相关机构仔细审查暴露在公网的 Catalyst SD-WAN 控制器日志，重点关注未授权对等节点事件与可疑认证行为。

建议管理员检查 /var/log/auth.log，关注来自未知 IP 地址的如下日志：

示例日志：

管理员应将异常 IP 与 SD-WAN Manager 中配置的系统 IP、已知管理与控制器基础设施地址比对。若出现未知 IP 成功认证，应视为设备已沦陷，并及时联系思科 TAC 支持。 

Talos 与官方公告还列出更多入侵指标：

·恶意账户的创建与删除

·异常 root 登录

·vmanage-admin 或 root 账户下出现未授权 SSH 密钥

·启用 PermitRootLogin 等配置篡改

管理员还应关注：

·日志文件异常偏小或缺失（可能为日志篡改）

·软件降级与重启行为（可能为利用 CVE-2022-20775 提权）

CISA 建议通过以下日志排查 CVE-2022-20775 利用痕迹：

CISA 排查指南要求机构收集取证数据（包括管理员核心转储、用户家目录），并确保日志外存以防篡改。若 root 账户已沦陷，建议重新全新部署系统，而非尝试清理现有环境。企业还应将异常对等节点事件、不明控制器行为为入侵信号并立即调查，如：

·限制网络暴露面

·将 SD-WAN 控制组件部署在防火墙后

·隔离管理接口

·日志转发至外部系统

·遵循思科官方加固指南 

根据思科最新公告显示，升级至已修复版本是彻底解决 CVE-2026-20127 高危漏洞 的唯一方式。