Modderende Meerkat APT ontdekte DNS-trucs

Sinds oktober 2019 is er een nieuwe cyberdreiging met de naam Muddling Meerkat gedetecteerd die zich bezighoudt met geavanceerde activiteiten waarbij het domeinnaamsysteem (DNS) betrokken is. Dit lijkt een poging te zijn om beveiligingsmaatregelen te omzeilen en wereldwijd netwerkverkenningen uit te voeren.

Infoblox, een cloudbeveiligingsbedrijf, suggereert dat de dreigingsactor waarschijnlijk geassocieerd is met de Volksrepubliek China (VRC) en mogelijk controle heeft over de Great Firewall (GFW), die het internetverkeer in en uit China beheert.

De naam "Muddling Meerkat" verwijst naar de raadselachtige aard van hun activiteiten, met name hun misbruik van DNS open-resolvers (DNS-servers die vragen van elk IP-adres accepteren) door vragen te verzenden vanaf Chinese IP-adressen.

Volgens een rapport gedeeld met nieuwszender The Hacker News merkte Infoblox op dat Muddling Meerkat blijk geeft van een diep begrip van DNS, wat ongebruikelijk is onder bedreigingsactoren, waarbij DNS wordt benadrukt als een krachtig hulpmiddel voor tegenstanders.

Hoe modderige Meerkat met DNS knoeit

De dreiging omvat het initiëren van DNS-query's, inclusief voor mail exchange (MX)-records, naar domeinen die geen eigendom zijn van de actor, maar zich bevinden onder gemeenschappelijke topniveaudomeinen zoals .com en .org.

Infoblox ontdekte deze bedreiging door afwijkende DNS MX-recordverzoeken van apparaten van klanten te observeren. Ze ontdekten meer dan twintig van dergelijke domeinen, waarvan geen enkele eigendom was van Muddling Meerkat.

Dr. Renée Burton van Infoblox verklaarde dat Muddling Meerkat een relatie moet hebben met de GFW om valse DNS MX-records te genereren, een gedrag dat nog niet eerder is waargenomen.

De GFW, die gebruik maakt van DNS-spoofing en manipulatie, injecteert valse DNS-antwoorden voor geblokkeerde zoekopdrachten. Het unieke kenmerk van Muddling Meerkat zijn de valse MX-recordreacties van Chinese IP-adressen, die verschillen van typisch GFW-gedrag.

Het motief achter de activiteiten van Muddling Meerkat blijft onduidelijk, hoewel het mogelijk om internetkartering of onderzoek gaat.

Burton benadrukte dat Muddling Meerkat een geavanceerde Chinese natiestaatacteur vertegenwoordigt die doelbewuste DNS-operaties tegen mondiale netwerken uitvoert, wat aanleiding geeft tot bezorgdheid vanwege de onduidelijke volledige omvang van hun activiteiten.

Over het geheel genomen vormen de activiteiten van Muddling Meerkat uitdagingen die verschillen van typische malware-operaties, wat voortdurende waakzaamheid en onderzoek door cyberbeveiligingsinstanties rechtvaardigt.