Observatorio de Amenazas

Campaña de Manipulación DNS Muddling Meerkat

Escrito por Javiera González | 02-05-24

Se ha descubierto un nuevo grupo de actividad maliciosa conocido como "Muddling Meerkat" que está vinculado a un actor de amenazas patrocinado por el estado chino. Este grupo ha estado manipulando el sistema de nombres de dominio (DNS) desde octubre de 2019 para sondear redes a nivel mundial, con un aumento significativo en la actividad observado en septiembre de 2023.

Objetivo

El objetivo principal de la campaña Muddling Meerkat parece ser sondear redes a nivel mundial y recopilar información sobre su seguridad DNS. Esta información podría ser utilizada para planificar futuros ataques cibernéticos o para ocultar actividades maliciosas en curso.

Métodos:

La campaña Muddling Meerkat emplea una variedad de métodos sofisticados para manipular el DNS, incluyendo:

  • Manipulación de registros MX (Mail Exchange): El grupo inyecta respuestas falsas a través del Gran Cortafuegos de China (GFW) para redirigir el correo electrónico de forma errónea.
  • Explotación de solucionadores DNS abiertos: Los atacantes aprovechan los solucionadores DNS públicos para ocultar su origen y anonimizar su actividad.
  • Consultas DNS a subdominios aleatorios: Se realizan consultas DNS a subdominios que no existen, posiblemente para generar ruido y dificultar la detección de la actividad maliciosa.
  • Selección de dominios de destino específicos: Se seleccionan dominios de destino con nombres cortos registrados antes del año 2000, ya que estos dominios son menos propensos a estar en listas de bloqueo de DNS.

Motivo:

Las motivaciones exactas de la campaña Muddling Meerkat aún no están claras. Sin embargo, se cree que los atacantes podrían estar buscando:

  • Mapear redes y evaluar la seguridad DNS: La información recopilada podría ser utilizada para identificar vulnerabilidades y planificar ataques futuros.
  • Crear "ruido" de DNS: El "ruido" de DNS puede dificultar a los administradores de red identificar la fuente de la actividad maliciosa y ocultar otras actividades maliciosas.

Impacto:

La campaña Muddling Meerkat podría tener un impacto significativo en las organizaciones y usuarios individuales. Algunos de los riesgos potenciales incluyen:

  • Ataques cibernéticos dirigidos: La información recopilada sobre la seguridad DNS podría ser utilizada para lanzar ataques cibernéticos más sofisticados y dirigidos.
  • Interrupción del correo electrónico: La manipulación de los registros MX podría provocar que el correo electrónico se redirija de forma errónea, lo que podría interrumpir las comunicaciones y causar pérdidas económicas.
  • Dificultad para identificar la fuente de actividad maliciosa: El uso de solucionadores DNS abiertos y la generación de ruido de DNS pueden dificultar a los administradores de red identificar la fuente de la actividad maliciosa.

Recomendaciones

Para mitigar el riesgo de la campaña Muddling Meerkat, se recomienda a las organizaciones y usuarios individuales:

  • Implementar medidas de seguridad DNS: Implementar medidas de seguridad DNS como la firma DNS y la validación DNSSEC para proteger los registros DNS contra la manipulación.
  • Monitorear registros DNS: Monitorear los registros DNS para detectar actividad anómala que pueda indicar una intrusión.
  • Bloquear dominios asociados con Muddling Meerkat: Bloquear los dominios asociados con la campaña Muddling Meerkat para evitar que se comuniquen con la red.
  • Mantener el software y los sistemas actualizados: Mantener el software y los sistemas actualizados con los últimos parches de seguridad para reducir la superficie de ataque.
  • Capacitar a los empleados sobre las amenazas de seguridad DNS: Capacitar a los empleados sobre las amenazas de seguridad DNS y cómo identificar y reportar actividades sospechosas.
  • Mantenerse informado: Manténgase informado sobre las últimas amenazas cibernéticas y siga las recomendaciones de las agencias de seguridad cibernética.
  • Implementar un servicio de ethical hacking: Contrate un servicio de ethical hacking para mitigar el riesgo de este tipo de ataques, esto le permitirá identificar y evaluar las vulnerabilidades antes de que sean explotadas, mejorar la postura de seguridad general y desarrollar un plan de respuesta a incidentes efectivo.

Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa. 

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

¡Conoce nuestras soluciones aquí y cuida la ciberseguridad de tu organización!

Fuentes

https://www.bleepingcomputer.com/news/security/muddling-meerkat-hackers-manipulate-dns-using-chinas-great-firewall/ 

https://sos-vo.org/news/muddling-meerkat-hackers-manipulate-dns-using-chinas-great-firewall#:~:text=%22Muddling%20Meerkat%2C%22%20a%20new,activity%20observed%20in%20September%202023.

https://thehackernews.com/2024/04/china-linked-muddling-meerkat-hijacks.html

https://medium.com/@defxcyber/chinas-muddling-meerkat-unraveling-the-global-internet-through-dns-hijacking-0120abb1c6e8

https://www.scmagazine.com/brief/global-dns-manipulation-conducted-by-suspected-chinese-state-backed-threat