La reconnaissance DNS de Muddling Meerkat dévoilée – Infoblox met en lumière un acteur de menace qui laisse perplexe

0
137

Infoblox Inc., spécialiste des services de sécurité et de réseau dans le cloud, publie aujourd’hui un nouveau rapport révélant la découverte de “Muddling Meerkat”, un acteur étatique présumé de la République Populaire de Chine ayant la capacité de contrôler le Grand Firewall, un système qui censure et manipule le trafic entrant et sortant de l’internet chinois.

Tribune – Muddling Meerkat emploie des stratégies utilisant les noms de domaines sophistiquées. Cependant, les intentions de l’acteur de menace demeurent ambiguës, ce qui incite à la prudence. À première vue, les activités de Muddling Meerkat semblent être des attaques DDoS, mais le volume de requêtes est trop faible pour cela. Une autre hypothèse est que Muddling Meerkat se concentre sur la cartographie des réseaux.

Cet acteur de menace montre une maîtrise avancée du DNS, une expertise rare chez les acteurs de la menace d’aujourd’hui, ce qui souligne que le DNS est une arme puissante.

Le rapport révèlent que les opérations :

  • déclenchent des réponses du Grand Firewall, notamment des enregistrements MX falsifiés provenant des adresses IP chinois, révélant ainsi une utilisation novatrice de l’infrastructure nationale comme pilier central de leur stratégie.
  • génèrent également des requêtes DNS pour des enregistrements MX et d’autres types d’enregistrements vers des domaines non affiliés à l’acteur, mais hébergés sous des domaines bien connus tels que .com et .org. Cela met en lumière l’utilisation de techniques de diversion et d’obscurcissement pour masquer leur véritable objectif.
  • En outre, les opérations font appel à des domaines extrêmement anciens, souvent enregistrés avant l’an 2000, ce qui leur permet de se fondre dans le flux de trafic DNS et d’éviter toute détection. Cela souligne davantage la maîtrise de l’acteur des failles du DNS et des mécanismes de sécurité en place.

Dans le cadre de la découverte de cette nouvelle menace, Infoblox introduit la fonctionnalité Zero Day DNS™, qui repère et bloque les attaques lancées depuis des domaines utilisés immédiatement après leur enregistrement, en s’appuyant sur un modèle DNS basé sur le Zero Trust.

Pour plus de détails, nous vous invitons à consulter le rapport complet disponible ici.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.