混乱的 Meerkat APT

一种名为“Muddling Meerkat”的未公开网络威胁已经出现，自 2019 年 10 月以来一直从事复杂的域名系统 (DNS) 活动。它可能会避开安全措施并从全球网络收集情报。

研究人员认为，该威胁与中华人民共和国有关，并怀疑该行为者控制着用于审查外国网站和操纵互联网流量的防火长城 (GFW)。

该黑客组织的名称反映了其行动的复杂性和混乱性，包括滥用 DNS 开放解析器（接受来自任何 IP 地址的查询的服务器）来从中国 IP 地址发送请求。

与其他黑客组织相比，网络犯罪分子表现出不同寻常的特征

Muddling Meerkat 展示了对 DNS 的深刻理解，这在当今的威胁行为者中并不常见——明确指出 DNS 是攻击者利用的强大武器。更具体地说，它需要触发针对邮件交换 (MX) 和其他记录类型的 DNS 查询，这些查询针对不属于攻击者但位于众所周知的顶级域名（例如 .com 和 .org）下的域名。

研究人员记录了客户设备向其递归解析器发送的请求，称它检测到了超过 20 个这样的域，以下是一些示例：

4u[.]com、kb[.]com、oao[.]com、od[.]com、boxi[.]com、zc[.]com、f4[.]com、b6[.]com、p3z[.]com、ob[.]com、eg[.]com、kok[.]com、gogo[.]com、aoa[.]com、gogo[.]com、id[.]com、mv[.]com、nef[.]com、ntl[.]com、tv[.]com、7ee[.]com、gb[.]com、q29[.]org、ni[.]com、tt[.]com、pr[.]com、dec[.]com

Muddling Meerkat 会从中国防火墙引出一种特殊的虚假 DNS MX 记录，这种记录以前从未见过。要做到这一点，Muddling Meerkat 必须与中国防火墙运营商有关系。目标域是查询中使用的域，因此它们不一定是攻击的目标。它是用于进行探测攻击的域。这些域不属于 Muddling Meerkat。

中国的防火墙是如何运作的？

防火墙 (GFW) 使用 DNS 欺骗和篡改技术来操纵 DNS 响应。当用户的请求与被禁的关键字或域匹配时，GFW 会注入包含随机真实 IP 地址的虚假 DNS 响应。

简单来说，如果用户尝试访问被屏蔽的关键字或域名，GFW 会通过屏蔽或重定向查询来阻止访问。这种干扰是通过 DNS 缓存中毒或 IP 地址屏蔽等方法实现的。

此过程涉及 GFW 检测对被屏蔽网站的查询，并使用包含无效 IP 地址或指向不同域的 IP 的虚假 DNS 回复进行响应。此操作有效地破坏了其管辖范围内的递归 DNS 服务器的缓存。

混乱的猫鼬很可能是中国民族国家威胁行为者

Muddling Meerkat 的突出特点是它使用来自中国 IP 地址的虚假 MX 记录响应，这与典型的防火墙 (GFW) 行为不同。

这些响应来自中国 IP 地址，这些地址通常不提供 DNS 服务，并且包含与 GFW 做法一致的不准确信息。然而，与 GFW 已知的方法不同，Muddling Meerkat 的响应包含格式正确的 MX 资源记录，而不是 IPv4 地址。

这项持续多年的活动背后的确切目的尚不清楚，但它表明可能涉及互联网地图或相关研究。

据称，Muddling Meerkat 由中国国家行为者发起，几乎每天都会针对全球网络进行蓄意且复杂的 DNS 操作，其活动范围遍布全球各个地方。

与掌握 DNS 活动相比，了解和检测恶意软件更为直接。虽然研究人员意识到正在发生一些事情，但他们无法完全理解。CISA、FBI 和其他机构继续对未被发现的中国行动发出警告。