Threat Intel detecta novo agente de ameaças mirando o grande firewall da China

O Muddling Meerkat utiliza atividades sofisticadas de DNS, provavelmente propagadas por atores estatais chineses, para contornar medidas de segurança tradicionais e investigar redes em todo o mundo

Compartilhar:

A Infoblox Inc. anunciou que seus pesquisadores de inteligência sobre ameaças, em colaboração com pesquisadores externos, descobriram “Muddling Meerkat”, um provável ator estatal da RPC com a capacidade de controlar o Grande Firewall (GFW) da China, um sistema que censura e manipula o tráfego que entra e sai da internet chinesa.

 

Este ator de ameaça DNS é particularmente sofisticado na sua capacidade de contornar as medidas de segurança tradicionais, uma vez que conduz operações criando grandes volumes de consultas DNS amplamente distribuídas, que são subsequentemente propagadas pela Internet por meio de resolvedores DNS abertos.

 

A Infoblox aproveitou seu conhecimento e acesso ao DNS para descobrir essa ameaça cibernética, pré-incidente, bloqueando seus domínios para garantir a segurança de seus clientes.

 

“A Infoblox Threat Intel come, dorme e respira dados de DNS. Nosso foco incansável em DNS, usando ciência de dados e IA de ponta, permitiu que nossa equipe global de caçadores de ameaças fosse a primeira a descobrir o Muddling Meerkat escondido nas sombras e a produzir inteligência crítica sobre ameaças para nossos clientes”, disse a Dra. Renée Burton, vice-presidente da Infoblox Threat Intel.

 

As operações complexas deste ator demonstram uma forte compreensão do DNS, enfatizando a importância de ter uma estratégia de detecção e resposta de DNS (DNSDR) em vigor para impedir ameaças sofisticadas como o Muddling Meerkat.

 

O apelido de “Muddling Meerkat” foi dado para descrever o ator como um animal que parece fofo, mas na realidade pode ser perigoso, vivendo em uma complexa rede de tocas subterrâneas e fora de vista. De uma perspectiva técnica, “Meerkat” faz referência ao abuso de resolvedores abertos, particularmente através do uso de registros DNS de troca de correio (MX). “Confusão” refere-se à natureza desconcertante das suas operações.

 

O ator da ameaça, Muddling Meerkat, tem operado secretamente desde pelo menos outubro de 2019. À primeira vista, as suas operações parecem ataques distribuídos de negação de serviço (DDoS) do Slow Drip, no entanto, é improvável que o DDoS seja o seu objetivo final. A motivação do ator é desconhecida, embora ele possa estar realizando reconhecimento ou preposicionamento para ataques futuros.

 

Muddling Meerkat demonstra uma compreensão sofisticada do DNS que é incomum entre os atores de ameaças hoje em dia – apontando claramente que o DNS é uma arma poderosa aproveitada pelos adversários.

 

A pesquisa mostra ainda que suas operações induzem as respostas do Grande Firewall, incluindo registros MX falsos do espaço de endereço IP chinês. Isto destaca uma utilização inovadora da infraestrutura nacional como parte fundamental da sua estratégia.

 

Além disso, ele aciona consultas DNS para MX e outros tipos de registro para domínios que não pertencem ao ator, mas que residem em domínios de nível superior conhecidos, como .com e .org. Essa tática destaca o uso de técnicas de distração e ofuscação para ocultar o real propósito pretendido.

 

Por fim, ele utiliza domínios muito antigos, normalmente registrados antes do ano 2000, permitindo que o ator se misture com outro tráfego DNS e evite a detecção. Isto destaca ainda mais a compreensão do agente da ameaça sobre o DNS e os controles de segurança existentes.

 

Conteúdos Relacionados

Security Report | Overview

Segurança na Saúde: custo médio de ciberataques atinge 5,3 milhões de dólares

No Brasil, Líder em ataques cibernéticos na América Latina e um dos cinco países mais visados no mundo, o setor...
Security Report | Overview

Segurança democratizada será uma das tendências de 2025, diz estudo

Gerenciar riscos cibernéticos em todos os níveis da força de trabalho – e não restringí-los apenas aos níveis mais altos...
Security Report | Overview

Como as mudanças anunciadas pela Meta podem impactar a Cibersegurança?

Políticas refeitas da plataforma representam um novo cenário em termos de cuidados contra golpes e riscos de segurança cibernética, alerta...
Security Report | Overview

Relatório aponta vulnerabilidades críticas em sistemas Microsoft, Cisco e Windows

A Redbelt Security também emitiu um alerta sobre o aumento de campanhas de phishing que utilizam táticas inovadoras para contornar...