Um novo agrupamento de atividades rastreadas como "Muddling Meerkat" está ligado à manipulação de DNS por um ator de ameaça patrocinado pelo estado chinês, sondando redes globalmente desde outubro de 2019, com um pico de atividade observado em setembro de 2023.
Um aspecto notável da atividade de Muddling Meerkat é a manipulação de registros MX (Mail Exchange) injetando respostas falsas através do Grande Firewall da China (GFW), um comportamento incomum e anteriormente não visto para o sistema de censura da internet do país.
Descoberta pela Infoblox, a atividade não tem um objetivo ou motivação clara, mas demonstra sofisticação e capacidades avançadas para manipular sistemas globais de DNS.
Ao analisar vastos volumes de dados de DNS, os pesquisadores da Infoblox descobriram uma atividade que, segundo eles, poderia facilmente passar despercebida ou ser confundida com algo inocente.
O DNS é um componente funcional essencial da internet, traduzindo nomes de domínio legíveis por humanos em endereços IP que os computadores usam para se identificar na rede e estabelecer conexões.
Muddling Meerkat manipula consultas e respostas de DNS, visando o mecanismo pelo qual os resolvers retornam os endereços IP.
Por exemplo, eles podem provocar respostas falsas de registro MX do GFW para mexer com o roteamento e potencialmente desviar e-mails.
A função do Grande Firewall é tipicamente filtrar e bloquear conteúdos interceptando consultas de DNS e fornecendo respostas inválidas, redirecionando usuários para longe de certos sites.
As atividades de Muddling Meerkat fazem com que ele emita respostas falsas que servem a objetivos como testar a resiliência e o comportamento de outras redes.
Para obfuscar ainda mais suas atividades, Muddling Meerkat faz solicitações de DNS para subdomínios aleatórios de seus domínios-alvo, que muitas vezes não existem.
Embora isso se assemelhe a um ataque chamado "Slow Drip DDoS", a Infoblox observa que, no caso de Muddling Meerkat, as consultas são pequenas em escala e visam testar em vez de interromper.
O ator de ameaça também explora resolvers abertos para obfuscar sua atividade e interage tanto com resolvers autoritativos quanto recursivos.
A Infoblox relata que Muddling Meerkat escolhe domínios-alvo com nomes curtos registrados antes de 2000, tornando-os menos propensos a estarem em blocklists de DNS.
Quanto ao propósito da atividade, Muddling Meerkat pode estar mapeando redes e avaliando sua segurança DNS para planejar ataques futuros, ou seu objetivo pode ser criar "ruído" de DNS, que pode ajudar a ocultar atividades mais maliciosas e confundir administradores que tentam identificar a fonte de solicitações de DNS anômalas.
O relatório da Infoblox fornece uma lista completa de indicadores de comprometimento (IoCs) e técnicas, táticas e procedimentos (TTPs) de Muddling Meerkat, incluindo listas de domínios que podem ser bloqueados sem impacto significativo devido a não hospedarem um site, hospedarem conteúdo ilegal ou estarem estacionados.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...