2026-01-11威胁情报:深度解析最新恶意软件IOC与攻击缓解策略

本文详细分析了ThreatFox于2026年1月11日发布的恶意软件威胁指标,涵盖技术分析、潜在影响、具体缓解建议以及涉及数十个URL、IP、域名和哈希值的完整失陷指标列表,旨在为安全团队提供最新的威胁态势感知和防御参考。

技术分析摘要

提供的资料描述了ThreatFox MISP订阅于2026年1月11日发布的一组失陷指标。这些指标主要关注与开源情报、载荷投递和网络活动相关的恶意软件活动。该条目未指明受影响的软件版本或产品,表明这很可能是一份威胁情报汇总,而非针对特定系统的漏洞或利用报告。

威胁等级被评为“中等”,目前未发现野外活跃的利用,也无可用补丁,这表明此情报可能处于初步阶段,或与观察到的恶意基础设施或攻击活动相关,而非正在进行的主动利用。技术细节包括威胁等级为2(基于未指明的等级标准)、分析评级为1、分布评级为3,这可能意味着对指标的信心度和传播范围均为中等水平。未提及CWE和CVE,进一步证实这是一份情报更新,而非直接的漏洞报告。标签和类别强调了开源情报和网络活动,指向网络攻击链中潜在的侦察或载荷投递初始阶段。所提供数据中缺乏具体的指标细节,限制了进行详细技术剖析的能力,但这些信息可作为态势感知更新,供安全团队纳入其威胁狩猎和监控流程。

潜在影响

对于欧洲的组织而言,由于目前没有已知的活跃利用或特定的受影响系统,此威胁的影响目前有限。然而,对开源情报和网络活动的关注暗示了可能为更有针对性攻击所做的侦察或准备阶段。如果随后载荷投递成功,可能导致数据泄露、未经授权的访问或服务中断。严重依赖开源情报工具或暴露网络服务的组织,可能更容易受到在更严重攻击前进行的侦察活动的影响。

中等严重性评级表明这是一种不应忽视的中等风险,特别是对于关键基础设施、政府实体和拥有高价值数据的行业而言。缺乏补丁或直接的缓解措施意味着防御策略必须依赖于检测、监控和事件响应准备。如果威胁行为者有效利用了这些IOC,可能会增加入侵尝试或恶意软件部署的风险,影响系统的机密性、完整性和可用性。

缓解建议

鉴于此次威胁情报更新的性质,欧洲组织应重点加强其威胁检测和监控能力。具体建议包括:

  1. 将提供的IOC集成到安全信息和事件管理以及端点检测与响应工具中,以便及早识别潜在的恶意活动。
  2. 定期进行网络流量分析,以检测异常的载荷投递尝试或侦察行为。
  3. 加强开源情报工具使用策略,监控可疑的查询或数据访问模式。
  4. 实施严格的网络分段和访问控制,以限制入侵发生时的横向移动。
  5. 维护最新的威胁情报订阅,并与信息共享组织合作,随时了解不断演变的威胁。
  6. 培训安全团队识别与开源情报和网络活动相关的早期失陷指标。
  7. 准备事件响应计划,其中应包含涉及载荷投递和基于网络的攻击场景。这些措施超越了通用建议,强调了在缺乏直接补丁或已知利用情况下的主动检测和操作准备。

受影响国家

德国、法国、英国、荷兰、意大利、西班牙

失陷指标列表

以下是详细的失陷指标,包含URL、文件(IP与端口)、哈希和域名,并附有相应的威胁描述和置信度。

URL

  • https://iamdavidachom.com/tentrady-confirmation/ - 未知恶意软件载荷投递URL(置信度:90%)

  • http://77.110.102.154/ce369e7324834845.php - Stealc僵尸网络C2(置信度:100%)

  • https://cdn.jsdelivr.net/gh/id-core-rs-com/err2/local - ClearFake载荷投递URL(置信度:100%)

  • https://cdn.jsdelivr.net/gh/token-id-4-api/api50-mint-ok/fl - ClearFake载荷投递URL(置信度:100%)

  • https://cdn.jsdelivr.net/gh/id-core-rs-com/power2/fast - ClearFake载荷投递URL(置信度:100%)

  • https://cdn.jsdelivr.net/gh/browse-via-api/fb-api-keys/keys - ClearFake载荷投递URL(置信度:100%)

  • http://194.164.34.182 - Stealc僵尸网络C2(置信度:100%)

  • http://69.164.242.27:3000/auth - 未知恶意软件僵尸网络C2(置信度:100%)

  • https://whitegambit.com:8080/auth - 未知恶意软件僵尸网络C2(置信度:100%)

  • https://cdn.jsdelivr.net/gh/az2-prd-rs01/canary-bg01/ufo - ClearFake载荷投递URL(置信度:100%)

  • https://cdn.jsdelivr.net/gh/az2-prd-rs01/canary-bg01/echo - ClearFake载荷投递URL(置信度:100%)

  • http://k0d3in.myftp.org/webpanel/pages/login.php - 未知恶意软件僵尸网络C2(置信度:100%)

  • https://evih.scamfreeweb.com/webpanel/ - 未知恶意软件僵尸网络C2(置信度:100%)

  • https://cdn.jsdelivr.net/gh/az2-prd-rs01/canary-bg01/add-48 - ClearFake载荷投递URL(置信度:100%)

  • https://cdn.jsdelivr.net/gh/az2-prd-rs01/s3-backet-cloud73-s1/final - ClearFake载荷投递URL(置信度:100%)

  • https://cdn.jsdelivr.net/gh/az2-prd-rs01/s3-backet-cloud73-s1/gfn-srvc - ClearFake载荷投递URL(置信度:100%)

  • https://cdn.jsdelivr.net/gh/service28-discovery-registr/n-state-manager-cache128/sdvvv12 - ClearFake载荷投递URL(置信度:100%)

  • https://cdn.jsdelivr.net/gh/service28-discovery-registr/n-state-manager-cache128/jpg - ClearFake载荷投递URL(置信度:100%)

  • https://cdn.jsdelivr.net/gh/service28-discovery-registr/n-state-manager-cache128/load - ClearFake载荷投递URL(置信度:100%)

文件(IP与端口)及哈希 (IP:端口 - 哈希值 - 描述)

  • 138.124.89.194:80 - 哈希 80 - Stealc僵尸网络C2服务器(置信度:100%)
  • 107.189.24.255:9000 - 哈希 9000 - SectopRAT僵尸网络C2服务器(置信度:100%)
  • 54.168.37.22:80 - 哈希 80 - Brute Ratel C4僵尸网络C2服务器(置信度:100%)
  • 182.254.168.212:30586 - 哈希 30586 - AdaptixC2僵尸网络C2服务器(置信度:100%)
  • 54.236.229.118:9301 - 哈希 9301 - Meterpreter僵尸网络C2服务器(置信度:100%)
  • 54.236.229.118:9601 - 哈希 9601 - Meterpreter僵尸网络C2服务器(置信度:100%)
  • 54.236.229.118:11101 - 哈希 11101 - Meterpreter僵尸网络C2服务器(置信度:100%)
  • 54.236.229.118:20001 - 哈希 20001 - Meterpreter僵尸网络C2服务器(置信度:100%)
  • 103.177.47.76:3790 - 哈希 3790 - Meterpreter僵尸网络C2服务器(置信度:100%)
  • 199.101.111.34:3790 - 哈希 3790 - Meterpreter僵尸网络C2服务器(置信度:100%)
  • 18.188.140.51:943 - 哈希 943 - Nanocore RAT僵尸网络C2服务器(置信度:75%)
  • 43.157.212.233:45 - 哈希 45 - ValleyRAT僵尸网络C2服务器(置信度:100%)
  • 137.175.16.1:8896 - 哈希 8896 - Cobalt Strike僵尸网络C2服务器(置信度:100%)
  • 185.196.11.235:80 - 哈希 80 - Sliver僵尸网络C2服务器(置信度:100%)
  • 184.174.32.240:9000 - 哈希 9000 - Sliver僵尸网络C2服务器(置信度:100%)
  • 51.195.201.251:3443 - 哈希 3443 - 未知恶意软件僵尸网络C2服务器(置信度:100%)
  • 195.24.237.166:443 - 哈希 443 - Havoc僵尸网络C2服务器(置信度:100%)
  • 185.76.242.166:7777 - 哈希 7777 - DCRat僵尸网络C2服务器(置信度:100%)
  • 199.101.111.41:3790 - 哈希 3790 - Meterpreter僵尸网络C2服务器(置信度:100%)
  • 196.75.135.191:2222 - 哈希 2222 - Meterpreter僵尸网络C2服务器(置信度:100%)
  • 54.236.229.118:9201 - 哈希 9201 - Meterpreter僵尸网络C2服务器(置信度:100%)
  • 85.203.4.143:7000 - 哈希 7000 - XWorm僵尸网络C2服务器(置信度:100%)
  • 90.165.55.41:4782 - 哈希 4782 - Quasar RAT僵尸网络C2服务器(置信度:100%)
  • 5.175.136.77:5000 - 哈希 5000 - Quasar RAT僵尸网络C2服务器(置信度:100%)
  • 43.157.212.233:443 - 哈希 443 - ValleyRAT僵尸网络C2服务器(置信度:100%)
  • 43.157.212.233:442 - 哈希 442 - ValleyRAT僵尸网络C2服务器(置信度:100%)
  • 45.156.87.158:3884 - 哈希 3884 - Mirai僵尸网络C2服务器(置信度:80%)
  • 87.121.112.124:911 - 哈希 911 - Mirai僵尸网络C2服务器(置信度:80%)
  • 185.208.159.209:8080 - 哈希 8080 - AsyncRAT僵尸网络C2服务器(置信度:100%)
  • 54.158.147.232:5176 - 哈希 5176 - Meterpreter僵尸网络C2服务器(置信度:100%)
  • 38.14.250.196:80 - 哈希 80 - Cobalt Strike僵尸网络C2服务器(置信度:100%)
  • 39.97.62.187:8888 - 哈希 8888 - Cobalt Strike僵尸网络C2服务器(置信度:100%)
  • 182.92.132.195:80 - 哈希 80 - Cobalt Strike僵尸网络C2服务器(置信度:100%)
  • 83.229.123.61:7777 - 哈希 7777 - Cobalt Strike僵尸网络C2服务器(置信度:100%)
  • 43.134.120.6:443 - 哈希 443 - ValleyRAT僵尸网络C2服务器(置信度:100%)
  • 148.178.40.170:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 148.178.48.116:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 148.178.51.44:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 148.178.56.139:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 148.178.65.38:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 148.178.66.103:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 148.178.69.17:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 148.178.69.241:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 148.178.71.239:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 148.178.77.92:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 148.178.79.57:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 148.178.82.238:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 148.178.83.19:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 148.178.92.67:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 207.56.193.158:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 207.56.201.147:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 207.56.205.87:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 207.56.215.40:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 5.75.200.211:8443 - 哈希 8443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 216.158.235.14:7443 - 哈希 7443 - 未知恶意软件僵尸网络C2服务器(置信度:100%)
  • 102.117.170.125:7443 - 哈希 7443 - 未知恶意软件僵尸网络C2服务器(置信度:100%)
  • 158.247.255.98:443 - 哈希 443 - 未知恶意软件僵尸网络C2服务器(置信度:100%)
  • 45.156.87.73:80 - 哈希 80 - MooBot僵尸网络C2服务器(置信度:100%)
  • 8.215.205.13:443 - 哈希 443 - 未知恶意软件僵尸网络C2服务器(置信度:100%)
  • 168.119.214.202:812 - 哈希 812 - 未知恶意软件僵尸网络C2服务器(置信度:100%)
  • 85.215.187.75:9090 - 哈希 9090 - Chaos僵尸网络C2服务器(置信度:100%)
  • 43.134.120.6:442 - 哈希 442 - ValleyRAT僵尸网络C2服务器(置信度:100%)
  • 154.73.110.37:2024 - 哈希 2024 - 未知恶意软件僵尸网络C2服务器(置信度:100%)
  • 43.134.120.6:45 - 哈希 45 - ValleyRAT僵尸网络C2服务器(置信度:100%)
  • 139.196.206.174:50012 - 哈希 50012 - VShell僵尸网络C2服务器(置信度:100%)
  • 69.164.242.27:3000 - 哈希 3000 - 未知恶意软件僵尸网络C2服务器(置信度:100%)
  • 109.107.177.135:8000 - 哈希 8000 - 未知恶意软件僵尸网络C2服务器(置信度:100%)
  • 45.81.113.180:80 - 哈希 80 - 未知恶意软件僵尸网络C2服务器(置信度:100%)
  • 146.235.201.30:53 - 哈希 53 - Cobalt Strike僵尸网络C2服务器(置信度:75%)
  • 103.205.253.87:54111 - 哈希 54111 - Ghost RAT僵尸网络C2服务器(置信度:100%)
  • 185.222.58.38:55615 - 哈希 55615 - RedLine Stealer僵尸网络C2服务器(置信度:100%)
  • 154.26.214.161:80 - 哈希 80 - Cobalt Strike僵尸网络C2服务器(置信度:100%)
  • 173.211.106.21:2404 - 哈希 2404 - Remcos僵尸网络C2服务器(置信度:100%)
  • 111.230.19.96:7443 - 哈希 7443 - 未知恶意软件僵尸网络C2服务器(置信度:100%)
  • 23.26.129.180:24053 - 哈希 24053 - Remcos僵尸网络C2服务器(置信度:100%)
  • 111.48.234.110:10250 - 哈希 10250 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 136.0.157.158:6606 - 哈希 6606 - AsyncRAT僵尸网络C2服务器(置信度:75%)
  • 148.178.43.87:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 148.178.44.227:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 148.178.70.49:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 148.178.71.71:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 148.178.83.49:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 148.178.85.246:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 148.178.87.48:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 148.178.89.46:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 18.190.71.162:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 207.56.192.203:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 207.56.195.76:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 3.209.181.254:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 99.83.220.247:443 - 哈希 443 - DeimosC2僵尸网络C2服务器(置信度:75%)
  • 83.217.209.11:7705 - 哈希 7705 - PureLogs Stealer僵尸网络C2服务器(置信度:100%)
  • 91.92.240.211:2404 - 哈希 2404 - Remcos僵尸网络C2服务器(置信度:100%)
  • 185.11.61.223:15647 - 哈希 15647 - SectopRAT僵尸网络C2服务器(置信度:100%)
  • 96.9.124.110:443 - 哈希 443 - Havoc僵尸网络C2服务器(置信度:100%)
  • 18.212.247.86:1962 - 哈希 1962 - Meterpreter僵尸网络C2服务器(置信度:100%)
  • 18.212.247.86:2762 - 哈希 2762 - Meterpreter僵尸网络C2服务器(置信度:100%)
  • 3.86.33.166:2456 - 哈希 2456 - Meterpreter僵尸网络C2服务器(置信度:100%)
  • 95.81.123.133:2040 - 哈希 2040 - NetSupportManager RAT僵尸网络C2服务器(置信度:100%)
  • 185.222.58.40:55615 - 哈希 55615 - RedLine Stealer僵尸网络C2服务器(置信度:100%)
  • 100.51.239.164:443 - 哈希 443 - Nimplant僵尸网络C2服务器(置信度:100%)
  • 52.21.176.23:443 - 哈希 443 - 未知恶意软件僵尸网络C2服务器(置信度:100%)

域名

  • newunveiled.com - Havoc僵尸网络C2域名(置信度:100%)
  • eticaret.yonlendir.cfd - Havoc僵尸网络C2域名(置信度:100%)
  • e-konutbasvuruekran.sbs - Havoc僵尸网络C2域名(置信度:100%)
  • sosyalkonut.cfd - Havoc僵尸网络C2域名(置信度:100%)
  • toki.sosyalkonutunuz.cfd - Havoc僵尸网络C2域名(置信度:100%)
  • sosyalkonutprojesi.sbs - Havoc僵尸网络C2域名(置信度:100%)
  • toki.konutbasvurutr.cfd - Havoc僵尸网络C2域名(置信度:100%)
  • gd0.com.co - 未知恶意软件僵尸网络C2域名(置信度:100%)
  • promole16.ddns.net - 未知RAT僵尸网络C2域名(置信度:100%)
  • rehumedece.ru.com - AsyncRAT僵尸网络C2域名(置信度:75%)
  • tamilrockers.gr.com - AsyncRAT僵尸网络C2域名(置信度:75%)
  • wabnewszamanpaper22.za.com - AsyncRAT僵尸网络C2域名(置信度:75%)
  • 58win8.in.net - AsyncRAT僵尸网络C2域名(置信度:75%)
  • 8xx.it.com - AsyncRAT僵尸网络C2域名(置信度:75%)
  • nobrains.localto.net - XWorm僵尸网络C2域名(置信度:100%)
  • exveyra-52557.portmap.host - XWorm僵尸网络C2域名(置信度:100%)
  • queijoz-38545.portmap.host - XWorm僵尸网络C2域名(置信度:100%)
  • remgreat2740.duckdns.org - Remcos僵尸网络C2域名(置信度:100%)
  • holdremco.bumbleshrimp.com - Remcos僵尸网络C2域名(置信度:100%)
  • guarderia.hopto.org - CyberGate僵尸网络C2域名(置信度:100%)
  • bacan4d.jp.net - AsyncRAT僵尸网络C2域名(置信度:75%)
  • crwqin.ru.com - AsyncRAT僵尸网络C2域名(置信度:75%)
  • mdf.uk.com - AsyncRAT僵尸网络C2域名(置信度:75%)
  • xar.uk.com - AsyncRAT僵尸网络C2域名(置信度:75%)
  • ubdofr.sa.com - AsyncRAT僵尸网络C2域名(置信度:75%)
  • ns1.mhtmzl.top - Cobalt Strike僵尸网络C2域名(置信度:75%)
  • ns2.mhtmzl.top - Cobalt Strike僵尸网络C2域名(置信度:75%)
  • eqp.lol - 未知窃密软件僵尸网络C2域名(置信度:100%)
  • 789bet-trangchu.vip - AsyncRAT僵尸网络C2域名(置信度:75%)
  • alloparentsbebe.org - AsyncRAT僵尸网络C2域名(置信度:75%)
  • okvip168th.net - AsyncRAT僵尸网络C2域名(置信度:75%)
  • open88top1.com - AsyncRAT僵尸网络C2域名(置信度:75%)
  • xacmgm.za.com - AsyncRAT僵尸网络C2域名(置信度:75%)
  • 58win.ae.org - AsyncRAT僵尸网络C2域名(置信度:75%)
  • 8xx00.cn.com - AsyncRAT僵尸网络C2域名(置信度:75%)
  • cort.uk.com - AsyncRAT僵尸网络C2域名(置信度:75%)
  • fcw.br.com - AsyncRAT僵尸网络C2域名(置信度:75%)
  • yqs.uk.com - AsyncRAT僵尸网络C2域名(置信度:75%)
  • af88.cn.com - AsyncRAT僵尸网络C2域名(置信度:75%)
  • af88.eu.com - AsyncRAT僵尸网络C2域名(置信度:75%)
  • af88.jpn.com - AsyncRAT僵尸网络C2域名(置信度:75%)
  • af88.uk.net - AsyncRAT僵尸网络C2域名(置信度:75%)
  • af88.us.com - AsyncRAT僵尸网络C2域名(置信度:75%)
  • portal.de.com - AsyncRAT僵尸网络C2域名(置信度:75%)
  • 58win1.it.com - AsyncRAT僵尸网络C2域名(置信度:75%)
  • af88.co.com - AsyncRAT僵尸网络C2域名(置信度:75%)
  • irbjlv.sa.com - AsyncRAT僵尸网络C2域名(置信度:75%)
  • knownsmianespecially.sa.com - AsyncRAT僵尸网络C2域名(置信度:75%)
  • uco.it.com - AsyncRAT僵尸网络C2域名(置信度:75%)
  • da88.in.net - Quasar RAT僵尸网络C2域名(置信度:75%)
  • hamo1221-54107.portmap.host - XWorm僵尸网络C2域名(置信度:100%)
  • 9ju3rdlvz.localto.net - XWorm僵尸网络C2域名(置信度:100%)
  • d1.qwertyx.host - XWorm僵尸网络C2域名(置信度:100%)
  • baba-asliiiii-20.sa.com - AsyncRAT僵尸网络C2域名(置信度:100%)
  • www.petro-chem.uk.com - AsyncRAT僵尸网络C2域名(置信度:100%)
  • www.58win.hu.net - AsyncRAT僵尸网络C2域名(置信度:100%)
  • biglobe-auth.jp.net - AsyncRAT僵尸网络C2域名(置信度:100%)
  • deltaone.ddns.net - Quasar RAT僵尸网络C2域名(置信度:100%)
  • hssshsh-33054.portmap.host - SpyNote僵尸网络C2域名(置信度:100%)
  • artemmakarov-30233.portmap.host - SpyNote僵尸网络C2域名(置信度:100%)
  • wmware.no-ip.biz - CyberGate僵尸网络C2域名(置信度:100%)

来源: ThreatFox MISP 订阅 发布时间: 2026年1月11日 星期日

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次