糊塗貓鼬 APT

一種名為 Muddling Meerkat 的未公開網路威脅已經出現，自 2019 年 10 月以來一直從事複雜的網域系統 (DNS) 活動。

研究人員認為該威脅與中華人民共和國 (PRC) 有關，並懷疑攻擊者控制了用於審查外國網站和操縱網路流量的防火牆 (GFW)。

該駭客組織的名稱反映了其操作的複雜性和混亂性，包括濫用 DNS 開放解析器（接受來自任何 IP 位址的查詢的伺服器）來發送來自中國 IP 位址的請求。

與其他駭客團體相比，網路犯罪分子表現出不同尋常的特徵

Muddling Meerkat 展現了對 DNS 的深入理解，這在當今的威脅行為者中並不常見——清楚地指出 DNS 是對手利用的強大武器。更具體地說，它需要觸發對不屬於攻擊者所有但駐留在眾所周知的頂級網域（例如 .com 和 .org）下的網域進行郵件交換 (MX) 和其他記錄類型的 DNS 查詢。

記錄了客戶設備發送到其遞歸解析器的請求的研究人員表示，它檢測到了 20 多個此類域，其中一些示例包括：

4u[.]com、kb[.]com、oao[.]com、od[.]com、boxi[.]com、zc[.]com、f4[.]com、b6[.]com、p3z[ .]com、ob[.]com、eg[.]com、kok[.]com、gogo[.]com、aoa[.]com、gogo[.]com、id[.]com、mv[.] com、nef[.]com、ntl[.]com、tv[.]com、7ee[.]com、gb[.]com、q29[.]org、ni[.]com、tt[.]com、 pr[.]com, dec[.]com

Muddling Meerkat 從防火牆引出了一種特殊的虛假 DNS MX 記錄，這是以前從未見過的。為此，Muddling Meerkat 必須與 GFW 營運商建立關係。目標域是查詢中使用的網域，因此它們不一定是攻擊的目標。它是用於執行探測攻擊的域。這些網域不屬於 Muddling Meerkat 所有。

中國的防火牆如何運作？

防火牆 (GFW) 使用 DNS 欺騙和篡改技術來操縱 DNS 回應。當使用者的請求與禁止的關鍵字或網域相符時，GFW 會注入包含隨機真實 IP 位址的虛假 DNS 回應。

簡而言之，如果使用者嘗試存取被封鎖的關鍵字或網域，GFW 會透過封鎖或重新導向查詢來介入以阻止存取。這種幹擾是透過 DNS 快取中毒或 IP 位址阻止等方法實現的。

此過程涉及 GFW 偵測對被封鎖網站的查詢，並使用包含無效 IP 位址或通往不同網域的 IP 的虛假 DNS 回覆進行回應。此操作有效地破壞了其管轄範圍內的遞歸 DNS 伺服器的快取。

糊塗的貓鼬很可能是中國民族國家的威脅者

Muddling Meerkat 的突出特點是它使用源自中國 IP 位址的虛假 MX 記錄回應，這與典型的防火牆 (GFW) 行為不同。

這些回應來自中國 IP 位址，這些位址通常不託管 DNS 服務，並且包含與 GFW 做法一致的不準確資訊。然而，與 GFW 的已知方法不同，Muddling Meerkat 的回應包括格式正確的 MX 資源記錄，而不是 IPv4 位址。

這項持續多年的活動背後的確切目的仍不清楚，儘管它表明可能參與網路地圖或相關研究。

Muddling Meerkat（被認為是中國國家行為者所為）幾乎每天都會針對全球網路進行深思熟慮且複雜的 DNS 操作，其活動範圍遍及各個地點。

與掌握 DNS 活動相比，理解和偵測惡意軟體更加簡單。雖然研究人員認識到某些事情正在發生，但他們無法完全理解。 CISA、FBI 和其他機構繼續對未被發現的中國行動發出警告。