Threat Intel detecta novo agente de ameaças mirando o grande firewall da China

O Muddling Meerkat utiliza atividades sofisticadas de DNS, provavelmente propagadas por atores estatais chineses, para contornar medidas de segurança tradicionais e investigar redes em todo o mundo

Compartilhar:

A Infoblox Inc. anunciou que seus pesquisadores de inteligência sobre ameaças, em colaboração com pesquisadores externos, descobriram “Muddling Meerkat”, um provável ator estatal da RPC com a capacidade de controlar o Grande Firewall (GFW) da China, um sistema que censura e manipula o tráfego que entra e sai da internet chinesa.

 

Este ator de ameaça DNS é particularmente sofisticado na sua capacidade de contornar as medidas de segurança tradicionais, uma vez que conduz operações criando grandes volumes de consultas DNS amplamente distribuídas, que são subsequentemente propagadas pela Internet por meio de resolvedores DNS abertos.

 

A Infoblox aproveitou seu conhecimento e acesso ao DNS para descobrir essa ameaça cibernética, pré-incidente, bloqueando seus domínios para garantir a segurança de seus clientes.

 

“A Infoblox Threat Intel come, dorme e respira dados de DNS. Nosso foco incansável em DNS, usando ciência de dados e IA de ponta, permitiu que nossa equipe global de caçadores de ameaças fosse a primeira a descobrir o Muddling Meerkat escondido nas sombras e a produzir inteligência crítica sobre ameaças para nossos clientes”, disse a Dra. Renée Burton, vice-presidente da Infoblox Threat Intel.

 

As operações complexas deste ator demonstram uma forte compreensão do DNS, enfatizando a importância de ter uma estratégia de detecção e resposta de DNS (DNSDR) em vigor para impedir ameaças sofisticadas como o Muddling Meerkat.

 

O apelido de “Muddling Meerkat” foi dado para descrever o ator como um animal que parece fofo, mas na realidade pode ser perigoso, vivendo em uma complexa rede de tocas subterrâneas e fora de vista. De uma perspectiva técnica, “Meerkat” faz referência ao abuso de resolvedores abertos, particularmente através do uso de registros DNS de troca de correio (MX). “Confusão” refere-se à natureza desconcertante das suas operações.

 

O ator da ameaça, Muddling Meerkat, tem operado secretamente desde pelo menos outubro de 2019. À primeira vista, as suas operações parecem ataques distribuídos de negação de serviço (DDoS) do Slow Drip, no entanto, é improvável que o DDoS seja o seu objetivo final. A motivação do ator é desconhecida, embora ele possa estar realizando reconhecimento ou preposicionamento para ataques futuros.

 

Muddling Meerkat demonstra uma compreensão sofisticada do DNS que é incomum entre os atores de ameaças hoje em dia – apontando claramente que o DNS é uma arma poderosa aproveitada pelos adversários.

 

A pesquisa mostra ainda que suas operações induzem as respostas do Grande Firewall, incluindo registros MX falsos do espaço de endereço IP chinês. Isto destaca uma utilização inovadora da infraestrutura nacional como parte fundamental da sua estratégia.

 

Além disso, ele aciona consultas DNS para MX e outros tipos de registro para domínios que não pertencem ao ator, mas que residem em domínios de nível superior conhecidos, como .com e .org. Essa tática destaca o uso de técnicas de distração e ofuscação para ocultar o real propósito pretendido.

 

Por fim, ele utiliza domínios muito antigos, normalmente registrados antes do ano 2000, permitindo que o ator se misture com outro tráfego DNS e evite a detecção. Isto destaca ainda mais a compreensão do agente da ameaça sobre o DNS e os controles de segurança existentes.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Threat Intel detecta nova técnica de ransomware executado pelo navegador

Especialistas mostram que modelo de IA conectou recursos legítimos do navegador para construir uma cadeia prática de ataque sem exploração...
Security Report | Overview

Project Lightwell: Players de TI formam parceria contra vulnerabilidades de software

Parceria une descoberta de falhas, aplicação de patches virtuais e remediação automatizada para neutralizar ameaças Cibernéticas na velocidade da inteligência...
Security Report | Overview

ANPD abre processo sancionador contra instituto de saúde por vazamento de dados

Ataque cibernético de ransomware expôs dados sensíveis de saúde de usuários de unidades públicas geridas pelo Instituto Saúde e Cidadania....
Security Report | Overview

Defesa Civil: MFA se torna demanda urgente, alerta inteligência de ameaças

Especialistas alertam para os riscos do uso de credenciais legítimas comprometidas em sistemas críticos e destacam a urgência de aplicar...