머들링 미어캣 APT
머들링 미어캣(Muddling Meerkat)이라는 이름의 알려지지 않은 사이버 위협이 2019년 10월부터 정교한 도메인 이름 시스템(DNS) 활동에 참여하고 있습니다. 이는 보안 조치를 피하고 글로벌 네트워크에서 정보를 수집할 가능성이 높습니다.
연구원들은 이 위협이 중화인민공화국(PRC)과 연관되어 있다고 믿고 있으며, 공격자가 외국 웹사이트를 검열하고 인터넷 트래픽을 조작하는 데 사용되는 만리방화벽(GFW)을 통제하고 있다고 의심합니다.
해커 그룹의 이름은 중국 IP 주소에서 요청을 보내기 위해 DNS 오픈 리졸버(모든 IP 주소의 쿼리를 받아들이는 서버)를 오용하는 등 복잡하고 혼란스러운 작업 특성을 반영합니다.
목차
사이버 범죄자는 다른 해커 그룹과 비교할 때 특이한 특성을 나타냅니다.
Muddling Meerkat은 오늘날 위협 행위자들 사이에서 흔하지 않은 DNS에 대한 정교한 이해를 보여줍니다. 이는 DNS가 적들이 활용하는 강력한 무기임을 분명히 지적합니다. 보다 구체적으로 말하면 행위자가 소유하지 않지만 .com 및 .org와 같이 잘 알려진 최상위 도메인에 있는 도메인에 대한 메일 교환(MX) 및 기타 레코드 유형에 대한 DNS 쿼리를 트리거하는 작업이 수반됩니다.
고객 장치에서 재귀 확인자로 전송된 요청을 기록한 연구원은 이러한 도메인을 20개 이상 발견했으며 그 예는 다음과 같습니다.
4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, 예:[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com
Muddling Meerkat은 만리방화벽(Great Firewall)에서 이전에는 볼 수 없었던 특별한 종류의 가짜 DNS MX 레코드를 유도합니다. 이를 위해서는 머들링 미어캣이 GFW 운영자와 관계를 맺고 있어야 합니다. 대상 도메인은 쿼리에 사용되는 도메인이므로 반드시 공격 대상이 되는 것은 아닙니다. 프로브 공격을 수행하는 데 사용되는 도메인입니다. 이 도메인은 머들링 미어캣의 소유가 아닙니다.
중국의 만리방화벽은 어떻게 작동하나요?
만리방화벽(GFW)은 DNS 스푸핑 및 변조 기술을 사용하여 DNS 응답을 조작합니다. 사용자의 요청이 금지된 키워드 또는 도메인과 일치하면 GFW는 임의의 실제 IP 주소가 포함된 가짜 DNS 응답을 삽입합니다.
간단히 말해서 사용자가 차단된 키워드나 도메인에 액세스하려고 하면 GFW가 개입하여 쿼리를 차단하거나 리디렉션하여 액세스를 방지합니다. 이러한 간섭은 DNS 캐시 중독이나 IP 주소 차단과 같은 방법을 통해 이루어집니다.
이 프로세스에는 GFW가 차단된 웹 사이트에 대한 쿼리를 감지하고 잘못된 IP 주소 또는 다른 도메인으로 연결되는 IP가 포함된 가짜 DNS 응답으로 응답하는 작업이 포함됩니다. 이 조치는 해당 관할권 내 재귀 DNS 서버의 캐시를 효과적으로 중단시킵니다.
머들링 미어캣은 중국 국가 위협 행위자일 가능성이 높습니다.
Muddling Meerkat의 눈에 띄는 특징은 전형적인 만리방화벽(GFW) 동작에서 벗어나 중국 IP 주소에서 발생하는 잘못된 MX 레코드 응답을 사용한다는 것입니다.
이러한 응답은 일반적으로 DNS 서비스를 호스팅하지 않고 GFW 관행에 따라 부정확한 정보를 포함하는 중국 IP 주소에서 나옵니다. 그러나 GFW의 알려진 방법과 달리 Muddling Meerkat의 응답에는 IPv4 주소 대신 올바른 형식의 MX 리소스 레코드가 포함됩니다.
수년에 걸쳐 진행되는 이 활동의 정확한 목적은 아직 불분명하지만 인터넷 매핑이나 관련 연구에 잠재적으로 참여할 가능성이 있음을 암시합니다.
중국 국가 행위자로 추정되는 Muddling Meerkat은 거의 매일 글로벌 네트워크를 대상으로 계획적이고 정교한 DNS 작업을 수행하며 활동 범위는 다양한 위치에 걸쳐 있습니다.
맬웨어를 이해하고 탐지하는 것은 DNS 활동을 파악하는 것보다 더 간단합니다. 연구자들은 어떤 일이 일어나고 있다는 것을 인식하지만, 완전한 이해는 어렵습니다. CISA, FBI 및 기타 기관은 적발되지 않은 중국의 작전에 대해 계속해서 경고하고 있습니다.
