Threat Intel detecta novo agente de ameaças mirando o grande firewall da China

O Muddling Meerkat utiliza atividades sofisticadas de DNS, provavelmente propagadas por atores estatais chineses, para contornar medidas de segurança tradicionais e investigar redes em todo o mundo

Compartilhar:

A Infoblox Inc. anunciou que seus pesquisadores de inteligência sobre ameaças, em colaboração com pesquisadores externos, descobriram “Muddling Meerkat”, um provável ator estatal da RPC com a capacidade de controlar o Grande Firewall (GFW) da China, um sistema que censura e manipula o tráfego que entra e sai da internet chinesa.

 

Este ator de ameaça DNS é particularmente sofisticado na sua capacidade de contornar as medidas de segurança tradicionais, uma vez que conduz operações criando grandes volumes de consultas DNS amplamente distribuídas, que são subsequentemente propagadas pela Internet por meio de resolvedores DNS abertos.

 

A Infoblox aproveitou seu conhecimento e acesso ao DNS para descobrir essa ameaça cibernética, pré-incidente, bloqueando seus domínios para garantir a segurança de seus clientes.

 

“A Infoblox Threat Intel come, dorme e respira dados de DNS. Nosso foco incansável em DNS, usando ciência de dados e IA de ponta, permitiu que nossa equipe global de caçadores de ameaças fosse a primeira a descobrir o Muddling Meerkat escondido nas sombras e a produzir inteligência crítica sobre ameaças para nossos clientes”, disse a Dra. Renée Burton, vice-presidente da Infoblox Threat Intel.

 

As operações complexas deste ator demonstram uma forte compreensão do DNS, enfatizando a importância de ter uma estratégia de detecção e resposta de DNS (DNSDR) em vigor para impedir ameaças sofisticadas como o Muddling Meerkat.

 

O apelido de “Muddling Meerkat” foi dado para descrever o ator como um animal que parece fofo, mas na realidade pode ser perigoso, vivendo em uma complexa rede de tocas subterrâneas e fora de vista. De uma perspectiva técnica, “Meerkat” faz referência ao abuso de resolvedores abertos, particularmente através do uso de registros DNS de troca de correio (MX). “Confusão” refere-se à natureza desconcertante das suas operações.

 

O ator da ameaça, Muddling Meerkat, tem operado secretamente desde pelo menos outubro de 2019. À primeira vista, as suas operações parecem ataques distribuídos de negação de serviço (DDoS) do Slow Drip, no entanto, é improvável que o DDoS seja o seu objetivo final. A motivação do ator é desconhecida, embora ele possa estar realizando reconhecimento ou preposicionamento para ataques futuros.

 

Muddling Meerkat demonstra uma compreensão sofisticada do DNS que é incomum entre os atores de ameaças hoje em dia – apontando claramente que o DNS é uma arma poderosa aproveitada pelos adversários.

 

A pesquisa mostra ainda que suas operações induzem as respostas do Grande Firewall, incluindo registros MX falsos do espaço de endereço IP chinês. Isto destaca uma utilização inovadora da infraestrutura nacional como parte fundamental da sua estratégia.

 

Além disso, ele aciona consultas DNS para MX e outros tipos de registro para domínios que não pertencem ao ator, mas que residem em domínios de nível superior conhecidos, como .com e .org. Essa tática destaca o uso de técnicas de distração e ofuscação para ocultar o real propósito pretendido.

 

Por fim, ele utiliza domínios muito antigos, normalmente registrados antes do ano 2000, permitindo que o ator se misture com outro tráfego DNS e evite a detecção. Isto destaca ainda mais a compreensão do agente da ameaça sobre o DNS e os controles de segurança existentes.

 

Conteúdos Relacionados

Security Report | Overview

Qual o impacto transformador da IA Agêntica nos SOCs?

A IA é cada vez mais usada por adversários em campanhas de engenharia social. Ao mesmo tempo, ataques a ambientes...
Security Report | Overview

Serpro entrega Segurança de dados e infraestrutura digital para a Cúpula do BRICS

Estatal de inteligência em governo digital garante credenciamento, proteção de dados e suporte tecnológico no encontro que reúne autoridades de...
Security Report | Overview

Maiores desafios das PMEs em Cibersegurança são ransomware, IA e conectividade, alerta análise

Os especialistas destacam como a combinação de conectividade avançada e cibersegurança pode proteger e impulsionar pequenos negócios na era da...
Security Report | Overview

Estudo detecta grupo de espionagem focado em governo, tecnologia e manufatura no Brasil

A ISH Tecnologia publica análise sobre arsenal cibernético usado por grupo ligado ao Estado chinês