Hacker chinês rastreia redes DNS globalmente há mais de 4 anos

“Os registros de resposta MX para Muddling Meerkat só são observáveis ??em dados coletados fora da cadeia normal de resolução de DNS porque a fonte da resposta não é um resolvedor de DNS, mas sim um endereço IP chinês aleatório”, observa Infoblox.

Os registros MX contendo nomes de host aleatórios foram vistos pela primeira vez em outubro de 2019, mas o número de resoluções MX começou a aumentar em setembro de 2023 e neste ano.

Durante anos, a Infoblox rastreou respostas de registros MX de endereços IP chineses em domínios alvo do Muddling Meerkat, o que sugere uma conexão entre o operador da ameaça e os operadores do GFW, e descobriu que as operações são realizadas em etapas. Os administradores de rede são aconselhados a identificar e eliminar resolvedores abertos em suas redes, usar apenas domínios confiáveis ??para pesquisa de Active Directory ou DNS, implementar detecção e resposta de DNS (DNSDR) e revisar os indicadores compartilhados de atividade— eles não sugerem necessariamente comprometimento).

Acesse o relatório completo da Infoblox sobre o Muddling Meerkat (em inglês) clicando aqui.

Créditos: CISO Advisor