Campaña de Manipulación DNS Muddling Meerkat

Escrito por Javiera González | 02-05-24

Se ha descubierto un nuevo grupo de actividad maliciosa conocido como "Muddling Meerkat" que está vinculado a un actor de amenazas patrocinado por el estado chino. Este grupo ha estado manipulando el sistema de nombres de dominio (DNS) desde octubre de 2019 para sondear redes a nivel mundial, con un aumento significativo en la actividad observado en septiembre de 2023.

Objetivo

El objetivo principal de la campaña Muddling Meerkat parece ser sondear redes a nivel mundial y recopilar información sobre su seguridad DNS. Esta información podría ser utilizada para planificar futuros ataques cibernéticos o para ocultar actividades maliciosas en curso.

Métodos:

La campaña Muddling Meerkat emplea una variedad de métodos sofisticados para manipular el DNS, incluyendo:

Manipulación de registros MX (Mail Exchange): El grupo inyecta respuestas falsas a través del Gran Cortafuegos de China (GFW) para redirigir el correo electrónico de forma errónea.
Explotación de solucionadores DNS abiertos: Los atacantes aprovechan los solucionadores DNS públicos para ocultar su origen y anonimizar su actividad.
Consultas DNS a subdominios aleatorios: Se realizan consultas DNS a subdominios que no existen, posiblemente para generar ruido y dificultar la detección de la actividad maliciosa.
Selección de dominios de destino específicos: Se seleccionan dominios de destino con nombres cortos registrados antes del año 2000, ya que estos dominios son menos propensos a estar en listas de bloqueo de DNS.

Motivo:

Las motivaciones exactas de la campaña Muddling Meerkat aún no están claras. Sin embargo, se cree que los atacantes podrían estar buscando:

Mapear redes y evaluar la seguridad DNS: La información recopilada podría ser utilizada para identificar vulnerabilidades y planificar ataques futuros.
Crear "ruido" de DNS: El "ruido" de DNS puede dificultar a los administradores de red identificar la fuente de la actividad maliciosa y ocultar otras actividades maliciosas.

Impacto:

La campaña Muddling Meerkat podría tener un impacto significativo en las organizaciones y usuarios individuales. Algunos de los riesgos potenciales incluyen:

Ataques cibernéticos dirigidos: La información recopilada sobre la seguridad DNS podría ser utilizada para lanzar ataques cibernéticos más sofisticados y dirigidos.
Interrupción del correo electrónico: La manipulación de los registros MX podría provocar que el correo electrónico se redirija de forma errónea, lo que podría interrumpir las comunicaciones y causar pérdidas económicas.
Dificultad para identificar la fuente de actividad maliciosa: El uso de solucionadores DNS abiertos y la generación de ruido de DNS pueden dificultar a los administradores de red identificar la fuente de la actividad maliciosa.

Recomendaciones

Para mitigar el riesgo de la campaña Muddling Meerkat, se recomienda a las organizaciones y usuarios individuales:

Implementar medidas de seguridad DNS: Implementar medidas de seguridad DNS como la firma DNS y la validación DNSSEC para proteger los registros DNS contra la manipulación.
Monitorear registros DNS: Monitorear los registros DNS para detectar actividad anómala que pueda indicar una intrusión.
Bloquear dominios asociados con Muddling Meerkat: Bloquear los dominios asociados con la campaña Muddling Meerkat para evitar que se comuniquen con la red.
Mantener el software y los sistemas actualizados: Mantener el software y los sistemas actualizados con los últimos parches de seguridad para reducir la superficie de ataque.
Capacitar a los empleados sobre las amenazas de seguridad DNS: Capacitar a los empleados sobre las amenazas de seguridad DNS y cómo identificar y reportar actividades sospechosas.
Mantenerse informado: Manténgase informado sobre las últimas amenazas cibernéticas y siga las recomendaciones de las agencias de seguridad cibernética.
Implementar un servicio de ethical hacking: Contrate un servicio de ethical hacking para mitigar el riesgo de este tipo de ataques, esto le permitirá identificar y evaluar las vulnerabilidades antes de que sean explotadas, mejorar la postura de seguridad general y desarrollar un plan de respuesta a incidentes efectivo.

Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa .

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.

¡Conoce nuestras soluciones aquí y cuida la ciberseguridad de tu organización!

Fuentes

https://www.bleepingcomputer.com/news/security/muddling-meerkat-hackers-manipulate-dns-using-chinas-great-firewall/

https://sos-vo.org/news/muddling-meerkat-hackers-manipulate-dns-using-chinas-great-firewall#:~:text=%22Muddling%20Meerkat%2C%22%20a%20new,activity%20observed%20in%20September%202023.

https://thehackernews.com/2024/04/china-linked-muddling-meerkat-hijacks.html

https://medium.com/@defxcyber/chinas-muddling-meerkat-unraveling-the-global-internet-through-dns-hijacking-0120abb1c6e8

https://www.scmagazine.com/brief/global-dns-manipulation-conducted-by-suspected-chinese-state-backed-threat

Ver post completo