Обнаружен запутанный Meerkat APT, использующий трюки DNS

С октября 2019 года была обнаружена новая киберугроза под названием Muddling Meerkat, осуществляющая сложные действия с использованием системы доменных имен (DNS). Похоже, это попытка обойти меры безопасности и провести глобальную сетевую разведку.

Infoblox, компания, занимающаяся облачной безопасностью, предполагает, что злоумышленник, скорее всего, связан с Китайской Народной Республикой (КНР) и может иметь контроль над Великим межсетевым экраном (GFW), который управляет интернет-трафиком в Китае и за его пределами.

Название «Смешной Сурикат» указывает на загадочный характер их деятельности, в частности на неправильное использование ими открытых преобразователей DNS — DNS-серверов, которые принимают запросы с любого IP-адреса — путем отправки запросов с китайских IP-адресов.

Согласно отчету, опубликованному новостным изданием The Hacker News, Infoblox отметил, что Muddling Meerkat демонстрирует глубокое понимание DNS, что необычно для субъектов угроз, подчеркивая DNS как мощный инструмент для злоумышленников.

Как Сурикат вмешивается в DNS

Угроза заключается в инициировании DNS-запросов, в том числе для записей почтового обмена (MX), к доменам, не принадлежащим злоумышленнику, но находящимся в общих доменах верхнего уровня, таких как .com и .org.

Infoblox обнаружил эту угрозу, наблюдая за аномальными запросами DNS-записей MX с устройств клиентов. Они обнаружили более 20 таких доменов, ни один из которых не принадлежал Muddling Meerkat.

Доктор Рене Бертон из Infoblox заявила, что Muddling Meerkat должен иметь отношения с GFW для создания поддельных записей DNS MX, поведение, которое ранее не наблюдалось.

GFW, использующий подмену и подделку DNS, вводит поддельные ответы DNS на заблокированные запросы. Уникальная особенность Meerkat — ложные ответы MX-записей с китайских IP-адресов, отличающиеся от типичного поведения GFW.

Мотивы деятельности Muddling Meerkat остаются неясными, хотя они могут включать в себя интернет-карты или исследования.

Бертон подчеркнул, что Muddling Meerkat представляет собой сложного китайского государственного субъекта, проводящего преднамеренные операции DNS против глобальных сетей, что вызывает обеспокоенность из-за неясного полного масштаба их операций.

В целом, деятельность Muddling Meerkat создает проблемы, отличные от обычных операций с вредоносными программами, что требует постоянной бдительности и расследований со стороны агентств кибербезопасности.