Muddling Meerkat APT opdagede at trække DNS-tricks

En ny cybertrussel ved navn Muddling Meerkat er blevet opdaget involveret i sofistikerede aktiviteter, der involverer domænenavnesystemet (DNS) siden oktober 2019. Dette ser ud til at være et forsøg på at omgå sikkerhedsforanstaltninger og udføre netværksrekognoscering globalt.

Infoblox, et cloud-sikkerhedsfirma, antyder, at trusselsaktøren sandsynligvis er forbundet med Folkerepublikken Kina (PRC) og kan have kontrol over Great Firewall (GFW), som styrer internettrafik ind og ud af Kina.

Navnet "Muddling Meerkat" refererer til den forvirrende karakter af deres aktiviteter, især deres misbrug af åbne DNS-resolvere – DNS-servere, der accepterer forespørgsler fra enhver IP-adresse – ved at sende forespørgsler fra kinesiske IP-adresser.

Ifølge en rapport delt med nyhedsmediet The Hacker News, bemærkede Infoblox, at Muddling Meerkat demonstrerer en dyb forståelse af DNS, hvilket er usædvanligt blandt trusselsaktører, og fremhæver DNS som et potent værktøj for modstandere.

Hvordan forvirrende Meerkat manipulerer med DNS

Truslen involverer initiering af DNS-forespørgsler, herunder for postudveksling (MX)-poster, til domæner, der ikke ejes af aktøren, men som er bosat under almindelige topdomæner såsom .com og .org.

Infoblox opdagede denne trussel ved at observere unormale anmodninger om DNS MX-registrering fra kundernes enheder. De opdagede over 20 sådanne domæner, ingen ejet af Muddling Meerkat.

Dr. Renée Burton fra Infoblox udtalte, at Muddling Meerkat skal have et forhold til GFW for at generere falske DNS MX-poster, en adfærd, der ikke tidligere er observeret.

GFW, som anvender DNS-spoofing og manipulation, injicerer falske DNS-svar for blokerede forespørgsler. Muddling Meerkats unikke egenskab er de falske MX-registreringssvar fra kinesiske IP-adresser, der adskiller sig fra typisk GFW-adfærd.

Motivet bag Muddling Meerkats aktiviteter er stadig uklart, selvom det kan involvere internetkortlægning eller forskning.

Burton understregede, at Muddling Meerkat repræsenterer en sofistikeret kinesisk nationalstatsaktør, der udfører bevidste DNS-operationer mod globale netværk, hvilket giver anledning til bekymring på grund af det uklare fulde omfang af deres operationer.

Samlet set udgør Muddling Meerkats aktiviteter udfordringer, der er forskellige fra typiske malware-operationer, hvilket garanterer fortsat årvågenhed og efterforskning fra cybersikkerhedsbureauer.