国家网络安全通报：境外恶意网址IP持续发起攻击，企业个人防范指南

国家网络与信息安全通报中心发布预警，多批法国、德国、柬埔寨等境外恶意IP、恶意域名携带DarkKomet、NjRAT、Mirai木马，通过后门、僵尸网络窃取数据、DDoS攻击，附完整设备排查方法与应急处置方案，企业与网民速看防范要点。 

一、境外黑客批量投放恶意IP域名，威胁国内网络安全

近日国家网络与信息安全信息通报中心发布续十九号安全预警，监测到大量境外恶意网址与恶意IP，境外黑客组织依托该批地址持续对我国政企单位、普通网民实施网络攻击，威胁等级极高。

这批恶意地址分属法国、德国、荷兰、柬埔寨等多国服务器，全部绑定木马控制服务端，主要攻击手段分为远程后门木马与物联网僵尸网络两类，轻则窃取账号密码、监控摄像头，重则组建僵尸网络发起DDoS攻击，造成企业服务器、监控设备大面积瘫痪。

常见传播渠道为钓鱼邮件、陌生链接、U盘、IoT设备弱口令爆破，覆盖办公电脑、家用智能设备、企业服务器等全场景联网设备，不管企业运维人员还是普通上网用户都需重点防范。

二、主流恶意木马与攻击类型解析

1、远程后门类木马：法国、德国、西班牙、保加利亚多个恶意域名搭载远程控制后门，以NjRAT、DarkKomet最为泛滥。木马运行后可实现键盘记录、屏幕截图、远程开启摄像头、窃取浏览器账号、远程执行命令，攻击者能完全接管电脑，盗取企业合同、个人身份证、支付信息等敏感数据，多通过钓鱼文件诱导用户主动运行。

2、僵尸网络病毒：荷兰、丹麦、罗马尼亚、塞尔维亚、柬埔寨IP归属地址集中投放僵尸网络程序，针对路由器、监控摄像头等IoT设备，利用漏洞、弱口令暴力破解入侵。设备沦陷后自动加入僵尸集群，随时接受指令发起大流量DDoS攻击，导致网站、内网系统断网瘫痪，中小企业是重灾区。

三、3步标准排查方法，快速定位中毒设备

1、流量日志自查：调取浏览器历史、路由器DNS访问记录，检索文中公布的恶意域名与IP，一旦发现外联记录，留存设备编号、连接时间、内网IP等取证信息。

2、流量设备监测：企业部署防火墙、流量审计设备，实时拦截境外恶意地址外联行为，持续追踪异常外联设备行为轨迹。

3、中毒设备取证分析：若检测到设备连接恶意地址，立即隔离断网，开展设备勘验、病毒样本分析，留存完整攻击证据便于溯源。

四、政企、个人通用安全处置建议

1、严控陌生文件与链接：社交软件、邮箱收到不明附件、短链接切勿点击，不随意下载非正规渠道软件，杜绝木马主动植入通道。

2、全网拦截恶意地址：运维人员及时更新防火墙、威胁情报平台规则，将本次通报全部恶意IP、域名加入黑名单，阻断外联通道。

3、遭遇攻击及时上报：发现设备中毒、内网异常攻击，第一时间向网安机关报备，配合技术人员完成溯源调查，降低数据泄露损失。

4、基础防护加固：路由器、摄像头修改默认弱密码，定期更新系统补丁；电脑安装正版杀毒软件，关闭不必要远程桌面权限。

境外恶意IP、恶意域名攻击已成常态化网络风险，后门木马窃取隐私、僵尸网络瘫痪设备两类威胁并行，企业需完善流量监测与黑名单拦截机制，普通网民提高钓鱼链接防范意识。定期关注国家网络安全通报中心预警，及时更新防护策略，才能有效抵御境外黑客网络入侵，保障个人信息与企业数据安全。