Muddling Meerkat APT 發現了 DNS 欺騙行為

自 2019 年 10 月以來，已偵測到一種名為 Muddling Meerkat 的新網路威脅參與涉及網域名稱系統 (DNS) 的複雜活動。

雲端安全公司 Infoblox 表示，威脅行為者可能與中華人民共和國 (PRC) 有關，並且可能控制管理進出中國的網路流量的防火牆 (GFW)。

「Muddling Meerkat」這個名字指的是他們的活動令人費解的性質，特別是他們透過發送來自中國 IP 位址的查詢來濫用 DNS 開放解析器（接受來自任何 IP 位址的查詢的 DNS 伺服器）。

根據新聞媒體 The Hacker News 分享的一份報告，Infoblox 指出，Muddling Meerkat 展示了對 DNS 的深刻理解，這在威脅行為者中是不尋常的，強調 DNS 作為對手的有力工具。

混亂的貓鼬如何篡改 DNS

此威脅涉及向不屬於攻擊者所有但位於 .com 和 .org 等常見頂級域下的網域發起 DNS 查詢，包括郵件交換 (MX) 記錄。

Infoblox 透過觀察來自客戶設備的異常 DNS MX 記錄請求發現了此威脅。他們偵測到了 20 多個這樣的域名，但沒有一個域名屬於 Muddling Meerkat。

Infoblox 的 Renée Burton 博士表示，Muddling Meerkat 必須與 GFW 有關係才能產生虛假的 DNS MX 記錄，這是以前未觀察到的行為。

GFW 採用 DNS 欺騙和篡改，為被封鎖的查詢注入虛假的 DNS 回應。 Muddling Meerkat 的獨特功能是來自中國 IP 位址的虛假 MX 記錄回應，這與典型的 GFW 行為不同。

Muddling Meerkat 活動背後的動機尚不清楚，但可能涉及網路地圖或研究。

伯頓強調，Muddling Meerkat 代表了一個複雜的中國民族國家行為者，對全球網路進行蓄意的 DNS 操作，由於其操作的全面範圍尚不清楚，引發了人們的擔憂。

總體而言，Muddling Meerkat 的活動帶來了與典型惡意軟體操作不同的挑戰，需要網路安全機構繼續保持警惕和調查。