Infoblox Threat Intel descubre Muddling Meerkat, un agente DNS que controla el Gran Firewall de China

Infoblox ha anunciado que su departamento de investigación de inteligencia de amenazas, en colaboración con investigadores externos, han identificado “Muddling Meerkat”, un probable actor malicioso de la República Popular China con la capacidad de controlar el Gran Firewall (GFW) de China, un sistema que censura y manipula el tráfico que entra y sale por Internet de China.

Este actor de amenazas de DNS es particularmente sofisticado por su capacidad de eludir las medidas de seguridad tradicionales, ya que lleva a cabo operaciones mediante la creación de grandes volúmenes de consultas de DNS ampliamente distribuidas, que posteriormente se propagan por Internet a través de DNS resolvers abiertos. Infoblox se ha basado en su profundo conocimiento y datos únicos sobre el funcionamiento de DNS para descubrir esta ciberamenaza, antes de que el incidente se haya producido, bloqueando sus dominios para garantizar que sus clientes estén seguros.

“Infoblox Threat Intel se alimenta, duerme y respira datos de tráfico DNS”, ha comentado Renée Burton, vicepresidenta de Infoblox Threat Intel. “Nuestro enfoque continúa siendo en DNS, el uso de data science y de inteligencia artificial nos ha permitido ser los primeros en descubrir Muddleling Meerkat acechando en las sombras y producir inteligencia de amenazas crítica para nuestros clientes. Las complejas operaciones de este actor demuestran que posee una sólida comprensión del funcionamiento de DNS, lo que enfatiza la importancia de contar con una estrategia de detección y respuesta de DNS (DNSDR) para detener amenazas sofisticadas como Muddleling Meerkat”.

Se ha bautizado a esta amenaza como “Muddler Meerkat” (Suricata Atolondrada) debido a su aspecto aparentemente inofensivo, pero que en realidad puede ser muy peligroso, ya que vive en una compleja red de madrigueras bajo tierra y ocultas a la vista. Desde una perspectiva técnica, “Meerkat” hace referencia al uso abusivo de los resolvers de DNS abiertos, particularmente mediante la utilización de registros de intercambio de correo DNS (MX). “Muddler” se refiere a la naturaleza desconcertante de sus operaciones.

Gracias a su profundo conocimiento sobre DNS y la visibilidad del cual disponemos sobre este tráfico, Infoblox Threat Intel puede ver la infraestructura de los atacantes a medida que se crea, lo que le permite detener con antelación tanto amenazas conocidas como emergentes. Con 46 millones de indicadores de amenazas únicos detectados en 2023 y una tasa de falsos positivos prácticamente inexistente (0,0002 %), Infoblox Threat Intel ha conseguido detectar el 82 % de las amenazas antes de producirse o después de una sola consulta, en lo que va de 2024, gracias al sistema de inteligencia de amenazas de la compañía, junto con la nueva funcionalidad Zero Day DNS de Infoblox.

El actor de amenazas Muddling Meerkat, ha estado operando de forma encubierta desde al menos octubre de 2019. A primera vista, sus operaciones parecen ataques de denegación de servicio distribuido (DDoS) de tipo Slow Drip, aunque es poco probable que DDoS sea su objetivo final. Se desconoce la motivación del actor, aunque es posible que esté realizando un reconocimiento o tomando posiciones para futuros ataques.

Muddleling Meerkat demuestra tener un profundo conocimiento del funcionamiento de DNS, algo poco común entre los actores de amenazas hoy en día, lo que demuestra claramente que el DNS es un arma poderosa si se sabe utilizar por los actores maliciosos.

La investigación muestra además que operaciones de este actor:

·       Provocan respuestas del Gran Firewall, incluidos registros MX falsos del espacio de direcciones IP chino. Esto pone de relieve un uso novedoso de la infraestructura de un país como parte fundamental de su estrategia.

·       Activan consultas DNS para dominios MX (dominios de correo electrónico) y otros tipos de registros en dominios que no son propiedad del actor pero que residen en dominios de nivel superior conocidos como .com y .org. Esta táctica destaca el uso de técnicas de distracción y ofuscación para ocultar el verdadero propósito de la actividad maliciosa.

·       Utilizan dominios muy antiguos, normalmente registrados antes del año 2000, lo que permite al actor mezclarse con otro tráfico DNS y evitar la detección. Esto pone de manifiesto aún más si cabe el dominio que este actor tiene del funcionamiento tanto del DNS como de los controles de seguridad existentes. El informe completo sobre Muddling Meerkat se puede encontrar aquí.

Infoblox Threat Intel obtiene una nueva imagen de marca, lo que demuestra un compromiso con la inteligencia sobre amenazas DNS sin equivalente en el mercado

Infoblox Threat Intel es hoy en día el proveedor original y líder de inteligencia sobre amenazas DNS del mercado. Esta unidad de negocio, dirigida por Renée Burton, una profesional con más de 22 años de trabajo en la NSA (Agencia de Seguridad Nacional de Estados Unido), está formado por investigadores de cinco países que tienen una larga experiencia en DNS, data science, ML/IA, análisis de inteligencia, ingeniería inversa de software y detección de spam malicioso. Infoblox ha querido reforzar la imagen de marca de esta unidad de negocio para distinguirse de los numerosos agregadores de inteligencia sobre amenazas, que hay hoy en el mercado, destacando su experiencia en la investigación original de amenazas DNS.

A lo largo del año pasado, Infoblox Threat Intel ha sido pionera en informar sobre otros actores de amenazas DNS, los cuales no habían sido detectados desde hacía años por el resto de los actores del mercado de ciberseguridad. Entre las amenazas detectadas se encuentran el kit de herramientas de malware DNS C2 Decoy Dog, el proveedor de servicios de acortamiento de URLs Prolific Puma, el ecosistema de distribución de tráfico malicioso más amplio conocido, VexTrio Viper (también conocido como VexTrio), y el proveedor de sistemas de redireccionamiento DNS CNAME Savvy Seahorse. Estas amenazas publicadas son sólo una pequeña parte de la cantidad de actores de amenazas DNS que Infoblox Threat Intel ha descubierto y está rastreando.

“La gran cantidad de actores de amenazas que efectivamente se esconden detrás de DNS debería ser una llamada de atención para que todos los responsables de ciberseguridad hagan de la inteligencia de amenazas DNS una parte esencial de su estrategia”, ha añadido Burton. “¿Por qué? Porque más del 92% del malware utiliza DNS”.

La forma más eficaz de protegerse contra estas sofisticadas amenazas es mediante sistemas de detección y respuesta de DNS como BloxOne Threat Defense de Infoblox. A diferencia de otras soluciones de seguridad que se centran en malware y después de eventos, Infoblox Threat Intel utiliza un enfoque múltiple para descubrir amenazas en DNS.

Zero Day DNS, la nueva funcionalidad de BloxOne Threat Defense

La nueva funcionalidad Zero Day DNS de Infoblox, basada en la nube, añade más capacidad a la plataforma para detectar y bloquear en cuestión de minutos posibles amenazas provenientes de dominios que han sido registrados por actores de amenazas, antes incluso de que sean utilizados en un ataque. Es un modelo Zero Trust para DNS que aprovecha la amplia visibilidad que tiene Infoblox para validar rápidamente cientos de miles de nuevos dominios casi en tiempo real todos los días.

Si bien la mayoría de los dominios envejecen antes de que los atacantes los utilicen, Infoblox ha descubierto una tendencia alarmante en los últimos 18 meses, en la que los actores de amenazas registran dominios similares y los utilizan inmediatamente en ataques dirigidos. Zero Day DNS ha sido diseñado específicamente para abordar este riesgo.

Zero Day DNS se adapta a la red de cada cliente en particular, proporcionando un mayor conocimiento personalizado sobre amenazas a los usuarios de Infoblox BloxOne Threat Defense Advanced Cloud. Esta capacidad proporciona defensa temprana contra ataques de phishing, que en 2023 fueron responsables del 66 % de todas las exfiltraciones de datos, según el informe anual de Barracuda Networks sobre tendencias de phishing. Los resultados iniciales muestran que Zero Day DNS puede detectar nuevas amenazas sin riesgo de bloquear el acceso vital a la red. Otros análisis han revelado que más del 16% de los dominios considerados potencialmente peligrosos han demostrado ser maliciosos en un plazo de 48 horas.

“Zero Day DNS no es simplemente algo que está bien tener, sino que representa una ventaja estratégica en un entorno donde los actores de amenazas, particularmente los actores de ransomware, utilizan un dominio inmediatamente después del registro para realizar phishing”, ha agregado Burton.