2025年12月14日威胁情报：恶意软件IOC深度解析与防御指南

技术摘要

数据描述了一份ThreatFox信息源更新，其中包含与2025年12月14日恶意软件活动相关的入侵指标（IOCs）。该威胁被归类为开源情报（OSINT）、载荷投递和网络活动，这表明其主要侧重于收集和共享有关恶意软件相关网络行为和载荷的情报。然而，未列出具体受影响的产品、版本或漏洞，也没有与此条目相关的补丁或已知漏洞利用信息。威胁级别被评为中等，威胁等级指标为2，传播指标为3，表明其传播范围中等，但直接影响有限。缺乏具体的技术细节、通用缺陷枚举（CWE）或指标，限制了评估威胁确切性质或攻击向量的能力。此条目似乎是来自ThreatFox MISP（恶意软件信息共享平台）信息源的信息更新，该平台是一个用于共享威胁情报的开源情报平台，而非关于新漏洞或活跃漏洞利用的报告。因此，它更像是一种态势感知工具，而非即时安全警报。

潜在影响

鉴于缺乏具体受影响的系统、漏洞利用或漏洞，对欧洲组织的直接影响可能微乎其微。这些信息可能有助于安全团队通过更新IOC数据库和改进恶意软件相关网络活动的检测能力，来增强其威胁情报能力。然而，由于缺乏可操作的指标或已知的漏洞利用，该威胁目前对系统的机密性、完整性和可用性不构成重大风险。依赖ThreatFox等开源情报源的欧洲组织可以利用这些数据来保持态势感知，但不应期望立即产生运营影响。中等严重性评级表明需要保持警惕，但无需立即采取补救措施。

缓解建议

组织应将ThreatFox的IOC集成到其现有的威胁情报平台和安全信息与事件管理（SIEM）系统中，以增强检测能力。定期更新IOC源并将其与内部日志相关联，可以提高对潜在恶意软件活动的早期预警。网络监控应侧重于与所述类别一致的异常载荷投递模式和可疑网络活动。由于未识别出具体补丁或漏洞，应重点保持强大的终端保护、网络分段和异常检测。安全团队还应持续进行开源情报收集和分析，以便在更广泛的威胁背景中理解这些IOC。与国家和欧洲网络安全中心的合作可以提供额外的见解和验证。

入侵指标（IOCs）

以下是经过整理的IOC列表，包含URL、哈希值、IP地址和域名。

URL

https://exoduwallet.io/exodus.exe
https://sotavpn.shop/
http://towerbingobongoboom.com:8080/updater?for=72cfa65519c25a05c2556fcc010387fc
https://smtp.xn--80adx0bza.xn--80aphgvco4b.xn--p1ai/
https://theinvestworthy.com/
https://romeroaktorpalimpsest.com/16836-near-war-veteran-memorial-park
https://steamcommunity.com/profiles/76561199877608270/
http://w2li.xyz/health
http://w2li.xyz/conn
http://w2li.xyz/8f42fdde60222ec1.node
http://w2li.xyz/uploads/09aeb1c5c233f36f.dll
http://nightlume.xyz/eternalpythonjavascript_linuxdownloads.php
http://mail.revitpourtous.com:53/filestreamingservice/files/6ea77424-b4f6-4a77
http://webmail.revitpourtous.com:53/filestreamingservice/files/6ea77424-b4f6-4a77
http://transmagistralcountysystem.info:8080/updater?for=0aa6b9f07a5b27b2069c137c69ec91eb
http://10.2.10.224:80/jzsf

哈希值 (SHA256示例及端口号)

哈希: 01dc573ef5281f437fc225ccb0b47e2b5a54802b6f43798137be90ca5ef3ca52 (未知RAT载荷)
端口/IOC: 2404, 9000, 465, 3790, 443, 3778, 8712, 20443, 8888, 9918, 7443, 1604, 1488, 60010, 5676, 18129, 9772, 8001, 8081, 80, 20300, 2405, 31337, 3333, 62143, 4782, 8000, 4444, 34712, 62104, 8080, 11155, 808, 9200, 18100, 60000, 7000, 4483, 1337, 8990, 33311, 3652, 9812, 6597 (对应多种恶意软件C2，如Remcos、Cobalt Strike、Meterpreter、XWorm等)

IP地址与端口 (文件类型IOC)

109.123.227.146:2404
31.56.27.19:9000
3.85.108.239:465
199.101.111.88:3790
89.111.149.164:443
13.213.128.58:443
45.13.225.72:3778
156.234.145.52:8712
156.234.101.168:8712
149.104.30.242:20443
154.222.18.152:8888
107.172.31.101:9918
178.16.53.119:8888
54.169.194.248:7443
199.101.109.57:3790
139.59.116.230:443
91.238.104.82:1604
87.242.106.13:1488
62.146.175.106:60010
16.163.15.152:5676
213.209.143.76:18129
87.121.84.60:9772
159.65.222.92:8001
111.231.11.55:8888
39.104.81.39:8081
115.190.238.185:80
204.77.130.20:8888
156.234.101.170:8712
156.234.101.163:8712
144.126.149.104:20300
3.114.19.102:80
103.177.47.147:3790
54.83.104.76:2405
45.93.20.50:80
195.20.17.33:8888
156.234.216.177:8712
181.214.100.68:31337
1.55.101.190:443
156.67.26.237:80
173.212.250.92:3333
34.136.172.215:3333
188.119.123.91:3333
193.161.193.99:62143
66.49.168.90:4782
194.59.30.9:8000
185.11.61.69:9000
95.113.168.128:7443
5.255.103.171:80
79.45.101.40:4444
199.101.111.209:3790
43.160.202.246:443
193.161.193.99:34712
193.161.193.99:62104
183.136.132.66:8080
44.252.85.168:443
162.243.28.13:11155
85.132.57.251:4782
54.205.202.152:808
34.229.140.12:9200
34.229.140.12:18100
34.229.140.12:60000
34.229.140.12:7000
34.229.140.12:8000
139.59.116.230:80
184.190.169.22:4483
209.74.71.43:1337
147.45.198.121:8990
181.214.100.68:8888
46.202.152.29:33311
51.20.235.140:443
75.2.19.211:443
118.107.3.249:3652
91.92.34.48:4782
23.235.188.181:9812
23.235.163.219:9812
103.48.135.195:9812
43.240.239.246:9812
156.234.152.175:9812
103.48.135.198:9812
23.235.174.10:9812
23.235.174.18:9812
103.48.135.217:9812
43.240.239.252:9812
23.235.163.209:9812
156.234.152.176:9812
216.92.60.88:443
132.145.75.68:6597

域名

crum.ripplecask.ru
omega.ripplecask.ru
bmz0.ripplecask.ru
vx7.snareplum.ru
patch.snareplum.ru
hth.snareplum.ru
rfz.snareplum.ru
pkxq.gl1tchloam.ru
xc2i.gl1tchloam.ru
sp5.gl1tchloam.ru
fax.gl1tchloam.ru
trace.snare-plum.ru
paper.snare-plum.ru
qfbmr.snare-plum.ru
tvlounge.aw
associacaodejudosi.org
asos1.net
h4o.snare-plum.ru
nova.v0lticrum.ru
v7rg.v0lticrum.ru
vjsjr.v0lticrum.ru
microsoft.shopmzx.in.net
verify.shopmzx.in.net
orbit.v0lticrum.ru
d6gu.ripple-cask.ru
75z.ripple-cask.ru
glitch.ripple-cask.ru
ajpl.ripple-cask.ru
beta.kettlewisp.ru
r2k.kettlewisp.ru
89pdo.kettlewisp.ru
ejt0w.kettlewisp.ru
cask.kettle-wisp.ru
odd.kettle-wisp.ru
fizz.kettle-wisp.ru
mix.kettle-wisp.ru
ch.stormf0x.ru
storm.stormf0x.ru
mint.stormf0x.ru
cloud.stormf0x.ru
repositorylinux.site
84u.softmint.ru
4tqikdkjp.localto.net
hellober-62592.portmap.host
soft.softmint.ru
y4uhk.softmint.ru
wkt.softmint.ru
qtf.raincr5st.ru
mizh.raincr5st.ru
wave.raincr5st.ru
romeroaktorpalimpsest.com
relays.buziopoasbubu.top
app.buziopoasbubu.top
clothcrib.xyz
ricestar.xyz
9q.raincr5st.ru
yminsgdb.cn
myrepis.gd
5nr.deepcl0ud.ru
wind.deepcl0ud.ru
wqu5.deepcl0ud.ru
w2li.xyz
mcx.deepcl0ud.ru
castlerocks.za.com
beta.bluef1re.ru
clear.bluef1re.ru
trace.bluef1re.ru
ember.bluef1re.ru
q5.wild5ky.ru
63oi.wild5ky.ru
13rv.wild5ky.ru
field.wild5ky.ru
gc31.windst0ne.ru
556.windst0ne.ru
hfe.windst0ne.ru
po1y8.windst0ne.ru
lj.clearl1ne.ru
wt.clearl1ne.ru
nexus.clearl1ne.ru
ab.clearl1ne.ru
delta.rockstorm.ru
5wnc.rockstorm.ru
mist.rockstorm.ru
crest.rockstorm.ru
4n.darkbreeze.ru
hog.darkbreeze.ru
byte.darkbreeze.ru
jq.darkbreeze.ru
rock.mistybyte.ru
s2eeka-62143.portmap.host
ellu2222-37691.portmap.host
n7xbtfikx.localto.net
app.castlerocks.za.com
ekmeowprogram.ddns.net
tq.mistybyte.ru
whx.mistybyte.ru
6ifg.mistybyte.ru
cirrus.cloudv1be.ru
nimbus5.cloudv1be.ru
altos.cloudv1be.ru
zen.cloudv1be.ru
delta.datash1ft.ru
stream3.datash1ft.ru
cache.datash1ft.ru
index.datash1ft.ru
shard.datash1ft.ru
byte.bytefl0w.ru
flux2.bytefl0w.ru
trace.bytefl0w.ru
nexus.bytefl0w.ru
herb.mintst0rm.ru
breeze.mintst0rm.ru
zeph1r.mintst0rm.ru
mesh.netw1ng.ru
link3.netw1ng.ru
hub.netw1ng.ru
route.netw1ng.ru
gust.windc0de.ru
cycl1e.windc0de.ru
draft.windc0de.ru
squall.storml1nk.ru
bolt.storml1nk.ru
arc2.storml1nk.ru
crest.storml1nk.ru
strat.skytrac5.ru
glide.skytrac5.ru
apex4.skytrac5.ru
trail.skytrac5.ru
zeph.skytrac5.ru
silk.softdr1ve.ru
soulnxc-62104.portmap.host
grenki2005-34712.portmap.host
centre-instruction.gl.at.ply.gg
francaeso-ctrik-51614.portmap.host
1.tcp.jp.ngrok.io
plush2.softdr1ve.ru
velvet.softdr1ve.ru
satin.softdr1ve.ru
rime.frostc0re.ru
hoar.frostc0re.ru
firn3.frostc0re.ru
chill.frostc0re.ru
cobalt.bluest0ne.ru
azure2.bluest0ne.ru
slate.bluest0ne.ru
noir.darkp1xel.ru
gamma.darkp1xel.ru
delta5.darkp1xel.ru
shade.darkp1xel.ru
noct.darkmint.ru
herb2.darkmint.ru
glade.darkmint.ru
frost.darkmint.ru
egqfg1ah2lbhoksjmxz30w==
ledge.cliffbright.ru
ridge3.cliffbright.ru
brink.cliffbright.ru
sun.cliffbright.ru
ember.f1restorm.ru
flare1.f1restorm.ru
squall.f1restorm.ru
ash.f1restorm.ru
delta.r1verdusk.ru
gloam.r1verdusk.ru
bend.r1verdusk.ru
hush2.r1verdusk.ru
malware.motchilltv.how
nazrej.sa.com
shade.shadowm1nt.ru
herb5.shadowm1nt.ru
basil.shadowm1nt.ru
noir.shadowm1nt.ru
arch.mistybr1dge.ru
span2.mistybr1dge.ru

来源： ThreatFox MISP 信息源 发布日期： 2025年12月14日，星期日 威胁ID： 693f5421b0f1e1d5302e7a41 威胁级别： 中等 (威胁等级: 2，分布: 3) 类型： 恶意软件 / 开源情报(OSINT)