混乱的 Meerkat APT 被发现使用 DNS 技巧

一种名为 Muddling Meerkat 的新网络威胁被发现自 2019 年 10 月以来一直在从事涉及域名系统 (DNS) 的复杂活动。这似乎是试图逃避安全措施并在全球范围内进行网络侦察。

云安全公司 Infoblox 表示，该威胁行为者可能与中华人民共和国有关，并且可能控制着管理进出中国互联网流量的防火长城 (GFW)。

“Muddling Meerkat”这个名字指的是其活动的令人费解的性质，特别是他们滥用 DNS 开放解析器（接受来自任何 IP 地址的查询的 DNS 服务器），通过从中国 IP 地址发送查询。

根据与新闻媒体 The Hacker News 分享的一份报告，Infoblox 指出 Muddling Meerkat 展示了对 DNS 的深刻理解，这在威胁行为者中并不常见，突出表明 DNS 是攻击者的有力工具。

Meerkat 如何篡改 DNS

该威胁涉及对不属于行为者但位于常见顶级域名（例如 .com 和 .org）下的域名发起 DNS 查询，包括邮件交换 (MX) 记录。

Infoblox 通过观察来自客户设备的异常 DNS MX 记录请求发现了这一威胁。他们检测到了 20 多个此类域名，其中没有一个属于 Muddling Meerkat。

Infoblox 的 Renée Burton 博士表示，Muddling Meerkat 一定与 GFW 有关系，才能生成虚假的 DNS MX 记录，这种行为之前从未被观察到过。

GFW 使用 DNS 欺骗和篡改，为被阻止的查询注入虚假的 DNS 响应。Muddling Meerkat 的独特功能是来自中国 IP 地址的虚假 MX 记录响应，这与典型的 GFW 行为不同。

Muddling Meerkat 活动背后的动机尚不清楚，但可能涉及互联网地图或研究。

伯顿强调，Muddling Meerkat 代表着一个老练的中国民族国家行为者，正在对全球网络进行蓄意的 DNS 操作，由于其行动的全部范围尚不明确，因此引发了人们的担忧。

总体而言，Muddling Meerkat 的活动所带来的挑战不同于典型的恶意软件操作，需要网络安全机构持续警惕和调查。