Se ha descubierto un nuevo grupo de actividad maliciosa conocido como "Muddling Meerkat" que está vinculado a un actor de amenazas patrocinado por el estado chino. Este grupo ha estado manipulando el sistema de nombres de dominio (DNS) desde octubre de 2019 para sondear redes a nivel mundial, con un aumento significativo en la actividad observado en septiembre de 2023.
Objetivo
El objetivo principal de la campaña Muddling Meerkat parece ser sondear redes a nivel mundial y recopilar información sobre su seguridad DNS. Esta información podría ser utilizada para planificar futuros ataques cibernéticos o para ocultar actividades maliciosas en curso.
Métodos:
La campaña Muddling Meerkat emplea una variedad de métodos sofisticados para manipular el DNS, incluyendo:
- Manipulación de registros MX (Mail Exchange): El grupo inyecta respuestas falsas a través del Gran Cortafuegos de China (GFW) para redirigir el correo electrónico de forma errónea.
- Explotación de solucionadores DNS abiertos: Los atacantes aprovechan los solucionadores DNS públicos para ocultar su origen y anonimizar su actividad.
- Consultas DNS a subdominios aleatorios: Se realizan consultas DNS a subdominios que no existen, posiblemente para generar ruido y dificultar la detección de la actividad maliciosa.
- Selección de dominios de destino específicos: Se seleccionan dominios de destino con nombres cortos registrados antes del año 2000, ya que estos dominios son menos propensos a estar en listas de bloqueo de DNS.
Motivo:
Las motivaciones exactas de la campaña Muddling Meerkat aún no están claras. Sin embargo, se cree que los atacantes podrían estar buscando:
- Mapear redes y evaluar la seguridad DNS: La información recopilada podría ser utilizada para identificar vulnerabilidades y planificar ataques futuros.
- Crear "ruido" de DNS: El "ruido" de DNS puede dificultar a los administradores de red identificar la fuente de la actividad maliciosa y ocultar otras actividades maliciosas.
Impacto:
La campaña Muddling Meerkat podría tener un impacto significativo en las organizaciones y usuarios individuales. Algunos de los riesgos potenciales incluyen:
- Ataques cibernéticos dirigidos: La información recopilada sobre la seguridad DNS podría ser utilizada para lanzar ataques cibernéticos más sofisticados y dirigidos.
- Interrupción del correo electrónico: La manipulación de los registros MX podría provocar que el correo electrónico se redirija de forma errónea, lo que podría interrumpir las comunicaciones y causar pérdidas económicas.
- Dificultad para identificar la fuente de actividad maliciosa: El uso de solucionadores DNS abiertos y la generación de ruido de DNS pueden dificultar a los administradores de red identificar la fuente de la actividad maliciosa.
Recomendaciones
Para mitigar el riesgo de la campaña Muddling Meerkat, se recomienda a las organizaciones y usuarios individuales:
- Implementar medidas de seguridad DNS: Implementar medidas de seguridad DNS como la firma DNS y la validación DNSSEC para proteger los registros DNS contra la manipulación.
- Monitorear registros DNS: Monitorear los registros DNS para detectar actividad anómala que pueda indicar una intrusión.
- Bloquear dominios asociados con Muddling Meerkat: Bloquear los dominios asociados con la campaña Muddling Meerkat para evitar que se comuniquen con la red.
- Mantener el software y los sistemas actualizados: Mantener el software y los sistemas actualizados con los últimos parches de seguridad para reducir la superficie de ataque.
- Capacitar a los empleados sobre las amenazas de seguridad DNS: Capacitar a los empleados sobre las amenazas de seguridad DNS y cómo identificar y reportar actividades sospechosas.
- Mantenerse informado: Manténgase informado sobre las últimas amenazas cibernéticas y siga las recomendaciones de las agencias de seguridad cibernética.
- Implementar un servicio de ethical hacking: Contrate un servicio de ethical hacking para mitigar el riesgo de este tipo de ataques, esto le permitirá identificar y evaluar las vulnerabilidades antes de que sean explotadas, mejorar la postura de seguridad general y desarrollar un plan de respuesta a incidentes efectivo.
Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa.
¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:
- Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
- Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
- Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.
¡Conoce nuestras soluciones aquí y cuida la ciberseguridad de tu organización!
Fuentes
https://thehackernews.com/2024/04/china-linked-muddling-meerkat-hijacks.html