Muddling Meerkat APT upptäckte att dra DNS-tricks

Ett nytt cyberhot vid namn Muddling Meerkat har upptäckts som engagerar sig i sofistikerade aktiviteter som involverar domännamnssystemet (DNS) sedan oktober 2019. Detta verkar vara ett försök att kringgå säkerhetsåtgärder och genomföra nätverksspaning globalt.

Infoblox, ett molnsäkerhetsföretag, föreslår att hotaktören sannolikt är associerad med Folkrepubliken Kina (PRC) och kan ha kontroll över den stora brandväggen (GFW), som hanterar internettrafik in och ut ur Kina.

Namnet "Muddling Meerkat" hänvisar till den förbryllande naturen i deras aktiviteter, särskilt deras missbruk av DNS-öppna resolvers – DNS-servrar som accepterar frågor från vilken IP-adress som helst – genom att skicka frågor från kinesiska IP-adresser.

Enligt en rapport som delas med nyhetsbyrån The Hacker News, noterade Infoblox att Muddling Meerkat visar en djup förståelse för DNS, vilket är ovanligt bland hotaktörer, och lyfter fram DNS som ett potent verktyg för motståndare.

Hur muddling Meerkat manipulerar med DNS

Hotet involverar att initiera DNS-frågor, inklusive för postutbyte (MX)-poster, till domäner som inte ägs av aktören men som finns under vanliga toppdomäner som .com och .org.

Infoblox upptäckte detta hot genom att observera onormala DNS MX-postförfrågningar från kundenheter. De upptäckte över 20 sådana domäner, ingen ägs av Muddling Meerkat.

Dr. Renée Burton från Infoblox sa att Muddling Meerkat måste ha en relation med GFW för att generera falska DNS MX-poster, ett beteende som inte tidigare observerats.

GFW, som använder DNS-spoofing och manipulering, injicerar falska DNS-svar för blockerade frågor. Muddling Meerkats unika funktion är de falska MX-postsvaren från kinesiska IP-adresser, som skiljer sig från typiskt GFW-beteende.

Motivet bakom Muddling Meerkats aktiviteter är fortfarande oklart, även om det kan involvera internetkartläggning eller forskning.

Burton betonade att Muddling Meerkat representerar en sofistikerad kinesisk nationalstatsaktör som utför avsiktliga DNS-operationer mot globala nätverk, vilket väcker oro på grund av den oklara omfattningen av deras verksamhet.

Sammantaget innebär Muddling Meerkats aktiviteter utmaningar som skiljer sig från typiska malware-operationer, vilket motiverar fortsatt vaksamhet och utredning av cybersäkerhetsbyråer.