ThreatFox IOCs 深度分析报告 (2026-01-10)

报告概述

本报告基于ThreatFox威胁情报平台于2026年1月10日发布的恶意软件威胁指标（Indicators of Compromise, IOC）。该数据集来源于ThreatFox MISP信息共享平台，主要归类于开源情报（OSINT）、载荷交付和网络活动。尽管当前威胁级别被评定为较低（2分制，中等严重性），但其中包含的大量IOC揭示了活跃的恶意软件基础设施和持续的攻击活动。

技术总结

提供的ThreatFox IOC条目日期为2026年1月10日，涉及归类于OSINT、载荷交付和网络活动的恶意软件威胁。数据源自ThreatFox MISP信息源，这是一个威胁情报共享平台。该条目缺乏详细的技术信息，例如特定的恶意软件名称、攻击向量或受影响的软件版本，并且没有报告在野的已知漏洞利用。威胁级别被评定为低（在一个更高的量表中为2分），严重性分类为中等，这表明虽然威胁存在，但目前不构成高风险。缺乏补丁或缓解链接表明，这要么是一个新识别的威胁，要么是一个不利用特定漏洞而是使用OSINT技术进行侦察或交付的威胁。条目中缺乏失陷指标（IOCs）进一步限制了可操作的情报。该威胁可能涉及基于网络的载荷交付机制，可能利用OSINT来识别目标或投递恶意载荷。鉴于数据有限，该威胁似乎处于早期或低活动阶段，需要监控而非立即采取防御行动。

潜在影响

对于欧洲组织而言，由于缺乏已知的漏洞利用和特定的受影响系统，此威胁目前的影响有限。然而，OSINT和网络活动的参与表明可能存在侦察和有针对性的载荷交付尝试，如果被利用，可能导致数据外泄或系统失陷。严重依赖开源情报进行运营或暴露网络服务的组织可能面临更高的风险。中等严重性评级意味着虽然直接损害不太可能发生，但威胁可能会演变或被用于多阶段攻击。如果载荷交付成功，可能会破坏机密性或完整性，但在此阶段对可用性的影响似乎最小。缺乏补丁和已知的漏洞利用表明，该威胁可能更多地是关于信息收集或准备阶段，而不是主动利用。鉴于其战略重要性和OSINT驱动活动频繁将其作为目标，政府、国防和关键基础设施等领域的欧洲实体应特别谨慎。

缓解建议

欧洲组织应增强其OSINT监控能力，以检测与此威胁相关的可疑活动。实施先进的网络流量分析工具，以识别异常的载荷交付尝试或异常的网络行为。利用威胁情报共享平台，及时了解新出现的IOC和威胁行为者策略。开展定期的安全意识培训，重点在于识别社会工程学和载荷交付方法。对网络进行分段，以限制在失陷情况下的横向移动。利用端点检测和响应（EDR）解决方案来识别和遏制潜在的恶意软件执行。由于没有可用的补丁，应重点加强网络防御，应用严格的访问控制，并保持最新的安全配置。开展针对OSINT相关指标的主动威胁狩猎演习。与欧洲网络安全机构合作，以接收及时的警报和指导。最后，制定针对OSINT驱动威胁和载荷交付场景的事件响应计划。

受影响国家

德国、法国、英国、荷兰、比利时、意大利、西班牙、瑞典。

失陷指标 (IOCs)

以下列出了大量的失陷指标，包括URL、域名、IP地址（附端口）和文件哈希值。这些IOC关联到多种恶意软件家族，例如ClearFake、Vidar、Stealc、AsyncRAT、Remcos、Cobalt Strike、Sliver、NjRAT、Quasar RAT、Meterpreter、XWorm等。请注意：这些均为恶意或可疑的基础设施，请勿直接访问。

URL 列表 (部分)

• https://rcmceberio.net/
• https://phambilihighschool.co.za/
• http://154.201.65.97:8888/supershell/login/
• https://138.226.237.121/
• https://18.202.117.177/
• https://cdn.jsdelivr.net/gh/identity-hub-rs-com/tkn-mgr0280/ino5f (关联: ClearFake)
• …（报告中包含超过100个恶意URL，为简洁起见，此处不完整列出）

域名列表 (部分)

• relay.trankor.online (关联: Unknown RAT)
• mintyfang2026.cyou (关联: Unknown Stealer)
• export.galmabuna.com (关联: FAKEUPDATES)
• fnlipr.ru.com (关联: AsyncRAT)
• docs.exitdriving.school (关联: FAKEUPDATES)
• fish-needed.gl.at.ply.gg (关联: XWorm)
• ziplocker.duckdns.org (关联: Quasar RAT)
• …（报告中包含超过50个恶意域名）

IP:端口 列表 (部分)

列表以 file: [IP地址] hash: [端口号] 的格式呈现，表示可疑的C2服务器。

• 158.94.210.26:9999 (关联: Unknown RAT)
• 173.46.80.235:9999 (关联: Unknown RAT)
• 178.16.53.98:443 (关联: Remcos)
• 91.224.92.144:2404 (关联: Remcos)
• 179.43.177.132:4444 (关联: Sliver)
• 185.208.159.209:8808 (关联: AsyncRAT)
• 45.153.34.79:9000 (关联: SectopRAT)
• 172.173.139.150:443 (关联: Havoc)
• 3.84.109.1:34545 (关联: Meterpreter)
• …（报告中包含超过150个IP:端口对）

文件哈希列表 (部分)

以下哈希值关联到各种恶意软件载荷。

• cdb58d3f8f521dab1ccf54c9370048f766e5fa8c (关联: DCRat)
• f72cb82b62fc929d3f9378fc266662ccbc660db1a34eebf755a3df7e5e62fc83 (关联: DCRat)
• e6d1bdd511538f7d43616d9ce5e4d9f3 (关联: DCRat)
• 18ffdd34c14cb9f4a4a3702bc250d0e1fb7a23e1 (关联: Owlproxy)
• 49d3deb1a576e06636623dd17621335880d560206658326f60f99c715850e17e (关联: Owlproxy)
• 066e5b41aa01b8cfcf36e6e2551af6af (关联: Owlproxy)
• 0659cdfca6be91525e06b05248d0a67ef209e08f (关联: NimGrabber)
• …（报告中包含超过200个文件哈希）

结论

这份2026年1月10日的IOC列表展示了当前威胁形势的复杂性和广泛性。攻击者利用多样化的基础设施（包括滥用CDN服务如jsdelivr.net）和多种恶意软件家族进行活动。虽然单个条目的威胁评级可能不高，但庞大的IOC数量表明存在持续、广泛的恶意活动。安全团队应将此列表用于丰富其威胁情报库，并更新网络和终端的安全检测规则，以防范相关威胁。持续监控此类情报源并根据建议采取缓解措施，对于构建主动防御能力至关重要。