"Muddling Meerkat" olarak izlenen yeni bir aktivite kümesinin, Çin devlet destekli bir tehdit oyuncusunun Ekim 2019'dan bu yana küresel olarak araştırmalarına DNS manipülasyonuna bağlı olduğuna inanılıyor ve Eylül 2023'te gözlenen bir faaliyette bir artış.
Meerkat'ın faaliyetini çamurlamanın dikkate değer bir yönü, ülkenin internet sansür sistemi için alışılmadık ve daha önce görülmemiş bir davranış olan Çin'in Büyük Güvenlik Duvarı (GFW) aracılığıyla sahte yanıtlar enjekte ederek MX (Posta Exchange) kayıtlarının manipülasyonudur.
Infoblox tarafından keşfedilen etkinliğin açık bir hedefi veya motivasyonu yoktur, ancak küresel DNS sistemlerini manipüle etmek için sofistike ve gelişmiş yetenekler gösterir.
DNS verilerinin büyük hacimlerine bakarak, Infeblox araştırmacıları radarın altında kolayca uçabileceğini veya zararsızla karıştırılabileceğini söyledikleri bir etkinlik keşfettiler.
DNS, insan tarafından okunabilen alan adlarını bilgisayarların ağda birbirlerini tanımlamak ve bağlantılar oluşturmak için kullandığı IP adreslerine çeviren İnternet'in önemli bir işlevsel bileşenidir.
Muddling Meerkat, çözümleyicilerin IP adreslerini döndürdüğü mekanizmayı hedefleyerek DNS sorgularını ve yanıtlarını manipüle eder.
Örneğin, GFW'den yönlendirme ve potansiyel olarak yanlış yönlendirme e -postalarıyla yanlış MX kayıt yanıtlarını provoke edebilirler.
Büyük güvenlik duvarı işlevi, genellikle DNS sorgularını ele geçirerek ve geçersiz yanıtlar sağlayarak, kullanıcıları belirli sitelerden uzaklaştırarak içeriği filtrelemek ve engellemektir. Meerkat'ın faaliyetlerini çamurlamak, diğer ağların esnekliğini ve davranışını test etmek gibi hedeflere hizmet eden sahte yanıtlar vermesine neden olur.
"GFW," yanda operatör "olarak tanımlanabilir, yani DNS yanıtlarını doğrudan değiştirmez, ancak kendi cevaplarını enjekte eder, orijinal amaçlanan hedeften herhangi bir yanıtla bir yarış koşuluna girer. GFW yanıtı önce talep eden kişi tarafından alındığında, DNS önbelleğini zehirleyebilir. GFW'ye ek olarak Çin, Büyük Top (GC) olarak adlandırılan bir sistemi işletiyor. GC, “ortada operatör” dir, bu da varış noktalarına giderken paketleri değiştirmesine izin verir.
❖ Infoblox
Faaliyetlerini daha da gizlemek için, Muddling Meerkat, DNS'nin hedef alanlarının rastgele alt alanları için genellikle var olmayan talepleri yapar.
Bu, "yavaş damla DDO'lar" adlı bir saldırıya benzese de, Infoblox, Meerkat'ın davasını karıştırmakta, sorguların ölçekli küçük olduğunu ve bozulmadan ziyade test etmeyi amaçladığını belirtiyor.
Tehdit oyuncusu ayrıca açık çözümleyicileri faaliyetlerini gizlemek için kullanıyor ve hem yetkili hem de özyinelemeli çözümleyicilerle etkileşime geçiyor.
Infoblox, Muddling Meerkat'ın 2000'den önce kayıtlı kısa isimlerle hedef alanları seçtiğini ve bu da DNS blok listelerinde olma olasılığını azalttığını bildirdi.
Etkinliğin amacına gelince, Muddling Meerkat, ağları haritalamak ve DNS güvenliğini gelecekteki saldırıları planlamak için değerlendirmek olabilir veya hedefleri, daha fazla kötü niyetli faaliyetleri gizlemeye yardımcı olabilecek DNS "gürültü" oluşturmak olabilir. Anormal DNS isteklerinin kaynağı.
Infoblox Raporu, Meerkat Uzlaşma (IOC'ler) ve teknikler, taktikler ve prosedürler (TTPS), hiçbir web sitesi barındırma, yasadışı içerik barındırma veya varlık barındırma nedeniyle engellenebilecek alanların listeleri de dahil olmak üzere tam bir liste sağlar. park edilmiş.
2,5 milyon benzersiz IPS ile Araştırmacılar Düek Plugx Malware Sunucusu
CISA, Microsoft Hack'ten Etkilenen Ajansları Siparişler Riskleri azaltmak için
Microsoft, bilgisayar korsanlarının 2023 değişim saldırısında MSA anahtarını nasıl çaldığından hala emin değil
Winnti'nin yeni Unapimon Aracı Güvenlik Yazılımından Kötü Yazılımları Gerektiriyor
Finlandiya, 2021 Parlamento İhlali'nin arkasındaki Apt31 hackerlarını teyit ediyor
Kaynak: Bleeping Computer