Multi-License Discount Quote
脅威データベース Advanced Persistent Threat (APT) 混乱するミーアキャット APT

混乱するミーアキャット APT

Advanced Persistent Threat (APT)Mezoまで
翻訳内容:
日本語

「Muddling Meerkat」という未公開のサイバー脅威が出現し、2019年10月から高度なドメインネームシステム(DNS)活動を行っている。セキュリティ対策を回避し、世界中のネットワークから情報を収集する可能性がある。

研究者らは、この脅威は中華人民共和国(PRC)に関連していると考えており、犯人が外国のウェブサイトを検閲し、インターネットトラフィックを操作するために使用されるグレートファイアウォール(GFW)を制御しているのではないかと疑っている。

このハッカーグループの名前は、DNSオープンリゾルバ(あらゆるIPアドレスからのクエリを受け入れるサーバー)を悪用して中国のIPアドレスからリクエストを送信するなど、その活動の複雑で紛らわしい性質を反映しています。

サイバー犯罪者は他のハッカーグループと比べて異常な特徴を示す

Muddling Meerkat は、今日の脅威アクターには珍しい、DNS に関する高度な理解を示しており、DNS が攻撃者によって利用される強力な武器であることを明確に示しています。具体的には、攻撃者が所有していないが、.com や .org などのよく知られたトップレベル ドメインの下にあるドメインに対して、メール交換 (MX) やその他のレコード タイプの DNS クエリをトリガーします。

顧客のデバイスから再帰リゾルバに送信されたリクエストを記録した研究者は、20 を超えるそのようなドメインが検出されたと述べています。いくつかの例は次のとおりです。

4u[.]com、kb[.]com、oao[.]com、od[.]com、boxi[.]com、zc[.]com、f4[.]com、b6[.]com、p3z[.]com、ob[.]com、eg[.]com、kok[.]com、gogo[.]com、aoa[.]com、gogo[.]com、id[.]com、mv[.]com、nef[.]com、ntl[.]com、tv[.]com、7ee[.]com、gb[.]com、q29[.]org、ni[.]com、tt[.]com、pr[.]com、dec[.]com

Muddling Meerkat は、これまでに見たことのない特殊な種類の偽の DNS MX レコードを Great Firewall から引き出します。これを行うには、Muddling Meerkat が GFW オペレーターと関係を持っている必要があります。ターゲット ドメインはクエリで使用されるドメインであるため、必ずしも攻撃のターゲットであるとは限りません。プローブ攻撃を実行するために使用されるドメインです。これらのドメインは Muddling Meerkat が所有するものではありません。

中国のグレートファイアウォールはどのように機能するのか?

グレート ファイアウォール (GFW) は、DNS スプーフィングと改ざんの技術を使用して DNS 応答を操作します。ユーザーのリクエストが禁止されたキーワードまたはドメインと一致すると、GFW はランダムな実際の IP アドレスを含む偽の DNS 応答を挿入します。

簡単に言えば、ユーザーがブロックされたキーワードやドメインにアクセスしようとすると、GFW が介入してクエリをブロックまたはリダイレクトすることでアクセスを防止します。この干渉は、DNS キャッシュ ポイズニングや IP アドレス ブロックなどの方法によって実現されます。

このプロセスでは、GFW がブロックされた Web サイトへのクエリを検出し、無効な IP アドレスまたは別のドメインにつながる IP を含む偽の DNS 応答で応答します。このアクションにより、管轄区域内の再帰 DNS サーバーのキャッシュが効果的に中断されます。

混乱するミーアキャットは中国国家の脅威主体である可能性が高い

Muddling Meerkat の際立った特徴は、中国の IP アドレスから発信された偽の MX レコード応答を使用することであり、これは典型的な Great Firewall (GFW) の動作とは異なります。

これらの応答は、通常は DNS サービスをホストしていない中国の IP アドレスから送信され、GFW の慣行と一致した不正確な情報が含まれています。ただし、GFW の既知の方法とは異なり、Muddling Meerkat の応答には IPv4 アドレスではなく、適切にフォーマットされた MX リソース レコードが含まれています。

数年にわたって継続しているこの活動の正確な目的は不明ですが、インターネット マッピングや関連研究に関与している可能性を示唆しています。

中国国家主体によるものとされる「Muddling Meerkat」は、世界中のネットワークに対してほぼ毎日、意図的かつ高度な DNS 操作を実行しており、その活動範囲はさまざまな場所に及んでいます。

マルウェアを理解して検出することは、DNS アクティビティを把握することに比べれば簡単です。研究者は何かが起きていることを認識していますが、完全に理解することはできません。CISA、FBI、その他の機関は、検出されていない中国の活動について引き続き警告しています。

トレンド

Fuxnet ICS マルウェア

Malware
情報セキュリティ研究者らは最近、産業用制御システム(ICS)を標的とするマルウェアの一種であるFuxnetを分析した。これはウクライナのハッカーがロシアの地下インフラ企業への最近の攻撃で使用したものだ。 ウクライナの安全保障機関と関係があるとされるハッカー集団「ブラックジャック」は、ロシアの重要機関数社に対する攻撃を仕掛けたと断言している。攻撃の標的にはインターネットサービスプロバイダー(I...

Sysredirector.com

Rogue Websites, Browser Hijackers, 望ましくない可能性のあるプログラム
Sysredirector.com は、検索エンジンを装った偽の Web サイトです。通常、このようなサイトには本物の検索結果を生成する機能がなく、代わりにユーザーを正当な検索エンジンにリダイレクトします。これらは、ブラウザー ハイジャッカーによってトリガーされる強制リダイレクトを通じて宣伝されることがよくあります。Sysredirector.com は、Smart Color Picker...

ベース認証

Rogue Websites, Adware, Browser Hijackers
Baseauthenticity.co.in は、訪問者を騙して不要なブラウザ通知を購読させるように特別に作成された、欺瞞的な Web サイトとして運営されています。この侵入的な戦術を採用することに加えて、この Web サイトはリダイレクトをトリガーする機能を備えている可能性があり、信頼性に欠け、ユーザーのオンライン セキュリティとプライバシーを危険にさらす可能性のある他のオンラインの目的地...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
80,528
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
64,075
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Msedge.exeとは何ですか?

Issue
58,728
一部の Windows ユーザーは、システムのバックグラウンドで「msedge.exe」という名前のプロセスがアクティブになっていることに気付く場合があります。通常、この特定のプロセスは Microsoft Edge ブラウザーの一部であるため、心配する必要はありません。 msedge.exe アプリケーションがシステムの CPU または RAM リソースを大量に消費している場合でも、ブラウ...
読み込んでいます...