技术摘要
数据描述了ThreatFox于2025年12月14日发布的危害指标(IOC)更新,这些指标与恶意软件活动相关。该威胁被归类于开源情报(OSINT)、有效载荷交付和网络活动类别,表明其主要侧重于收集和共享有关恶意软件相关网络行为和有效载荷的情报。然而,未列出具体的受影响产品、版本或漏洞,且此条目没有相关的补丁或已知漏洞利用。威胁等级被评为中等,威胁级别指标为2,分布指标为3,表明传播程度中等但直接影响有限。由于缺乏具体的技术细节、通用弱点枚举(CWE)或指标,难以评估威胁的确切性质或途径。此条目似乎是来自ThreatFox MISP(恶意软件信息共享平台)订阅源的信息更新,该平台是一个用于共享威胁情报的开源情报平台,而非关于新漏洞或活跃漏洞利用的报告。因此,它更多地作为一种态势感知工具,而非即时安全警报。
潜在影响
鉴于缺乏具体的受影响系统、漏洞利用或漏洞,对欧洲组织的直接影响可能微乎其微。这些信息可能有助于安全团队通过更新IOC数据库和改进对恶意软件相关网络活动的检测来增强其威胁情报能力。然而,在没有可操作的指标或已知漏洞利用的情况下,该威胁目前不会对系统的机密性、完整性或可用性构成重大风险。依赖ThreatFox等开源情报订阅源的欧洲组织可以利用这些数据来保持态势感知,但不应期望立即产生运营影响。中等严重性评级表明需要保持警惕,但无需紧急修复。
缓解建议
组织应将ThreatFox IOC集成到其现有的威胁情报平台和安全信息与事件管理(SIEM)系统中,以增强检测能力。定期更新IOC订阅源并将其与内部日志关联,可以提高对潜在恶意软件活动的预警。网络监控应侧重于与所述类别一致的不寻常的有效载荷交付模式和可疑网络活动。由于没有确定补丁或特定漏洞,重点应放在维护强大的端点保护、网络分段和异常检测上。安全团队还应进行持续的开源情报收集和分析,以便在更广泛的威胁环境中对这些IOC进行情境化分析。与国家和欧洲网络安全中心的合作可以提供额外的见解和验证。
危害指标
URL:
- https://exoduwallet.io/exodus.exe
- https://sotavpn.shop/
- http://towerbingobongoboom.com:8080/updater?for=72cfa65519c25a05c2556fcc010387fc
- https://smtp.xn--80adx0bza.xn--80aphgvco4b.xn–p1ai/
- https://theinvestworthy.com/
- https://romeroaktorpalimpsest.com/16836-near-war-veteran-memorial-park
- https://steamcommunity.com/profiles/76561199877608270/
- http://w2li.xyz/health
- http://w2li.xyz/conn
- http://w2li.xyz/8f42fdde60222ec1.node
- http://w2li.xyz/uploads/09aeb1c5c233f36f.dll
- http://nightlume.xyz/eternalpythonjavascript_linuxdownloads.php
- http://mail.revitpourtous.com:53/filestreamingservice/files/6ea77424-b4f6-4a77
- http://webmail.revitpourtous.com:53/filestreamingservice/files/6ea77424-b4f6-4a77
- http://transmagistralcountysystem.info:8080/updater?for=0aa6b9f07a5b27b2069c137c69ec91eb
- http://10.2.10.224:80/jzsf
哈希值 (Hash):
- 01dc573ef5281f437fc225ccb0b47e2b5a54802b6f43798137be90ca5ef3ca52
- 2404
- 9000
- 465
- 3790
- 443
- 443
- 3778
- 8712
- 8712
- 20443
- 8888
- 9918
- 8888
- 7443
- 3790
- 443
- 1604
- 1488
- 60010
- 5676
- 18129
- 9772
- 8001
- 8888
- 8081
- 80
- 8888
- 8712
- 8712
- 20300
- 80
- 3790
- 2405
- 80
- 8888
- 8712
- 31337
- 443
- 80
- 3333
- 3333
- 3333
- 62143
- 4782
- 8000
- 9000
- 7443
- 80
- 4444
- 3790
- 443
- 34712
- 62104
- 8080
- 443
- 11155
- 4782
- 808
- 9200
- 18100
- 60000
- 7000
- 8000
- 80
- 4483
- 1337
- 8990
- 8888
- 33311
- 443
- 443
- 3652
- 4782
- 9812
- 9812
- 9812
- 9812
- 9812
- 9812
- 9812
- 9812
- 9812
- 9812
- 9812
- 9812
- 443
- 6597
IP地址与端口 (File - IP:Port):
- 109.123.227.146:2404
- 31.56.27.19:9000
- 3.85.108.239:465
- 199.101.111.88:3790
- 89.111.149.164:443
- 13.213.128.58:443
- 45.13.225.72:3778
- 156.234.145.52:8712
- 156.234.101.168:8712
- 149.104.30.242:20443
- 154.222.18.152:8888
- 107.172.31.101:9918
- 178.16.53.119:8888
- 54.169.194.248:7443
- 199.101.109.57:3790
- 139.59.116.230:443
- 91.238.104.82:1604
- 87.242.106.13:1488
- 62.146.175.106:60010
- 16.163.15.152:5676
- 213.209.143.76:18129
- 87.121.84.60:9772
- 159.65.222.92:8001
- 111.231.11.55:8888
- 39.104.81.39:8081
- 115.190.238.185:80
- 204.77.130.20:8888
- 156.234.101.170:8712
- 156.234.101.163:8712
- 144.126.149.104:20300
- 3.114.19.102:80
- 103.177.47.147:3790
- 54.83.104.76:2405
- 45.93.20.50:80
- 195.20.17.33:8888
- 156.234.216.177:8712
- 181.214.100.68:31337
- 1.55.101.190:443
- 156.67.26.237:80
- 173.212.250.92:3333
- 34.136.172.215:3333
- 188.119.123.91:3333
- 193.161.193.99:62143
- 66.49.168.90:4782
- 194.59.30.9:8000
- 185.11.61.69:9000
- 95.113.168.128:7443
- 5.255.103.171:80
- 79.45.101.40:4444
- 199.101.111.209:3790
- 43.160.202.246:443
- 193.161.193.99:34712
- 193.161.193.99:62104
- 183.136.132.66:8080
- 44.252.85.168:443
- 162.243.28.13:11155
- 85.132.57.251:4782
- 54.205.202.152:808
- 34.229.140.12:9200
- 34.229.140.12:18100
- 34.229.140.12:60000
- 34.229.140.12:7000
- 34.229.140.12:8000
- 139.59.116.230:80
- 184.190.169.22:4483
- 209.74.71.43:1337
- 147.45.198.121:8990
- 181.214.100.68:8888
- 46.202.152.29:33311
- 51.20.235.140:443
- 75.2.19.211:443
- 118.107.3.249:3652
- 91.92.34.48:4782
- 23.235.188.181:9812
- 23.235.163.219:9812
- 103.48.135.195:9812
- 43.240.239.246:9812
- 156.234.152.175:9812
- 103.48.135.198:9812
- 23.235.174.10:9812
- 23.235.174.18:9812
- 103.48.135.217:9812
- 43.240.239.252:9812
- 23.235.163.209:9812
- 156.234.152.176:9812
- 216.92.60.88:443
- 132.145.75.68:6597
域名 (Domain):
- crum.ripplecask.ru
- omega.ripplecask.ru
- bmz0.ripplecask.ru
- vx7.snareplum.ru
- patch.snareplum.ru
- hth.snareplum.ru
- rfz.snareplum.ru
- pkxq.gl1tchloam.ru
- xc2i.gl1tchloam.ru
- sp5.gl1tchloam.ru
- fax.gl1tchloam.ru
- trace.snare-plum.ru
- paper.snare-plum.ru
- qfbmr.snare-plum.ru
- tvlounge.aw
- associacaodejudosi.org
- asos1.net
- h4o.snare-plum.ru
- nova.v0lticrum.ru
- v7rg.v0lticrum.ru
- vjsjr.v0lticrum.ru
- microsoft.shopmzx.in.net
- verify.shopmzx.in.net
- orbit.v0lticrum.ru
- d6gu.ripple-cask.ru
- 75z.ripple-cask.ru
- glitch.ripple-cask.ru
- ajpl.ripple-cask.ru
- beta.kettlewisp.ru
- r2k.kettlewisp.ru
- 89pdo.kettlewisp.ru
- ejt0w.kettlewisp.ru
- cask.kettle-wisp.ru
- odd.kettle-wisp.ru
- fizz.kettle-wisp.ru
- mix.kettle-wisp.ru
- ch.stormf0x.ru
- storm.stormf0x.ru
- mint.stormf0x.ru
- cloud.stormf0x.ru
- repositorylinux.site
- 84u.softmint.ru
- 4tqikdkjp.localto.net
- hellober-62592.portmap.host
- soft.softmint.ru
- y4uhk.softmint.ru
- wkt.softmint.ru
- qtf.raincr5st.ru
- mizh.raincr5st.ru
- wave.raincr5st.ru
- romeroaktorpalimpsest.com
- relays.buziopoasbubu.top
- app.buziopoasbubu.top
- clothcrib.xyz
- ricestar.xyz
- 9q.raincr5st.ru
- yminsgdb.cn
- myrepis.gd
- 5nr.deepcl0ud.ru
- wind.deepcl0ud.ru
- wqu5.deepcl0ud.ru
- w2li.xyz
- mcx.deepcl0ud.ru
- castlerocks.za.com
- beta.bluef1re.ru
- clear.bluef1re.ru
- trace.bluef1re.ru
- ember.bluef1re.ru
- q5.wild5ky.ru
- 63oi.wild5ky.ru
- 13rv.wild5ky.ru
- field.wild5ky.ru
- gc31.windst0ne.ru
- 556.windst0ne.ru
- hfe.windst0ne.ru
- po1y8.windst0ne.ru
- lj.clearl1ne.ru
- wt.clearl1ne.ru
- nexus.clearl1ne.ru
- ab.clearl1ne.ru
- delta.rockstorm.ru
- 5wnc.rockstorm.ru
- mist.rockstorm.ru
- crest.rockstorm.ru
- 4n.darkbreeze.ru
- hog.darkbreeze.ru
- byte.darkbreeze.ru
- jq.darkbreeze.ru
- rock.mistybyte.ru
- s2eeka-62143.portmap.host
- ellu2222-37691.portmap.host
- n7xbtfikx.localto.net
- app.castlerocks.za.com
- ekmeowprogram.ddns.net
- tq.mistybyte.ru
- whx.mistybyte.ru
- 6ifg.mistybyte.ru
- cirrus.cloudv1be.ru
- nimbus5.cloudv1be.ru
- altos.cloudv1be.ru
- zen.cloudv1be.ru
- delta.datash1ft.ru
- stream3.datash1ft.ru
- cache.datash1ft.ru
- index.datash1ft.ru
- shard.datash1ft.ru
- byte.bytefl0w.ru
- flux2.bytefl0w.ru
- trace.bytefl0w.ru
- nexus.bytefl0w.ru
- herb.mintst0rm.ru
- breeze.mintst0rm.ru
- zeph1r.mintst0rm.ru
- mesh.netw1ng.ru
- link3.netw1ng.ru
- hub.netw1ng.ru
- route.netw1ng.ru
- gust.windc0de.ru
- cycl1e.windc0de.ru
- draft.windc0de.ru
- squall.storml1nk.ru
- bolt.storml1nk.ru
- arc2.storml1nk.ru
- crest.storml1nk.ru
- strat.skytrac5.ru
- glide.skytrac5.ru
- apex4.skytrac5.ru
- trail.skytrac5.ru
- zeph.skytrac5.ru
- silk.softdr1ve.ru
- soulnxc-62104.portmap.host
- grenki2005-34712.portmap.host
- centre-instruction.gl.at.ply.gg
- francaeso-ctrik-51614.portmap.host
- 1.tcp.jp.ngrok.io
- plush2.softdr1ve.ru
- velvet.softdr1ve.ru
- satin.softdr1ve.ru
- rime.frostc0re.ru
- hoar.frostc0re.ru
- firn3.frostc0re.ru
- chill.frostc0re.ru
- cobalt.bluest0ne.ru
- azure2.bluest0ne.ru
- slate.bluest0ne.ru
- noir.darkp1xel.ru
- gamma.darkp1xel.ru
- delta5.darkp1xel.ru
- shade.darkp1xel.ru
- noct.darkmint.ru
- herb2.darkmint.ru
- glade.darkmint.ru
- frost.darkmint.ru
- egqfg1ah2lbhoksjmxz30w==
- ledge.cliffbright.ru
- ridge3.cliffbright.ru
- brink.cliffbright.ru
- sun.cliffbright.ru
- ember.f1restorm.ru
- flare1.f1restorm.ru
- squall.f1restorm.ru
- ash.f1restorm.ru
- delta.r1verdusk.ru
- gloam.r1verdusk.ru
- bend.r1verdusk.ru
- hush2.r1verdusk.ru
- malware.motchilltv.how
- nazrej.sa.com
- shade.shadowm1nt.ru
- herb5.shadowm1nt.ru
- basil.shadowm1nt.ru
- noir.shadowm1nt.ru
- arch.mistybr1dge.ru
- span2.mistybr1dge.ru
来源: ThreatFox MISP 订阅源 发布时间: 2025年12月14日 星期日 威胁ID: 693f5421b0f1e1d5302e7a41 威胁级别: 中等 类型: 恶意软件 分类: 开源情报 TLP: 白标