DNSトリックを仕掛けるMuddling Meerkat APTが発見される
2019年10月以降、ドメインネームシステム(DNS)に関わる高度な活動を行っている「Muddling Meerkat」という新たなサイバー脅威が検出されています。これは、セキュリティ対策を回避し、世界規模でネットワーク偵察を行う試みであると思われます。
クラウド セキュリティ企業の Infoblox は、脅威の実行者は中華人民共和国 (PRC) と関係がある可能性が高く、中国内外のインターネット トラフィックを管理するグレート ファイアウォール (GFW) を制御している可能性があると示唆しています。
「Muddling Meerkat」という名前は、彼らの活動の不可解な性質、特に中国の IP アドレスからクエリを送信することで DNS オープン リゾルバ (任意の IP アドレスからのクエリを受け入れる DNS サーバー) を悪用していることを表しています。
ニュースメディアのThe Hacker Newsと共有されたレポートによると、Infobloxは、Muddling MeerkatがDNSを深く理解していることを指摘した。これは脅威アクターとしては異例であり、DNSが敵にとって強力なツールであることを浮き彫りにしている。
ミーアキャットがDNSを改ざんする仕組み
この脅威には、攻撃者が所有していないが、.com や .org などの一般的なトップレベル ドメインの下にあるドメインに対して、メール交換 (MX) レコードを含む DNS クエリを開始することが含まれます。
Infoblox は、顧客のデバイスからの異常な DNS MX レコード要求を観察することでこの脅威を発見しました。同社は 20 を超えるそのようなドメインを検出しましたが、Muddling Meerkat が所有するものはありませんでした。
Infoblox の Renée Burton 博士は、Muddling Meerkat が偽の DNS MX レコードを生成するには GFW と関係があるに違いない、これはこれまで観察されていなかった動作だと述べています。
DNS スプーフィングと改ざんを利用する GFW は、ブロックされたクエリに対して偽の DNS 応答を挿入します。Muddling Meerkat のユニークな機能は、中国の IP アドレスからの偽の MX レコード応答であり、一般的な GFW の動作とは異なります。
Muddling Meerkat の活動の動機は不明だが、インターネット マッピングや調査が関係している可能性がある。
バートン氏は、Muddling Meerkat は、世界中のネットワークに対して意図的に DNS 操作を実行する洗練された中国国家主体の活動であり、その活動の全容が不明瞭なため懸念が生じていると強調した。
全体的に、Muddling Meerkat の活動は、一般的なマルウェア活動とは異なる課題を提起しており、サイバーセキュリティ機関による継続的な警戒と調査が必要です。
