మడ్లింగ్ మీర్కట్ APT

అక్టోబరు 2019 నుండి అధునాతన డొమైన్ నేమ్ సిస్టమ్ (DNS) కార్యకలాపాలలో నిమగ్నమై, మడ్లింగ్ మీర్కట్ అనే పేరులేని సైబర్ ముప్పు ఉద్భవించింది. ఇది భద్రతా చర్యలను నివారించడం మరియు గ్లోబల్ నెట్‌వర్క్‌ల నుండి గూఢచారాన్ని సేకరించే అవకాశం ఉంది.

ఈ ముప్పు పీపుల్స్ రిపబ్లిక్ ఆఫ్ చైనా (PRC)తో ముడిపడి ఉందని పరిశోధకులు విశ్వసిస్తున్నారు మరియు విదేశీ వెబ్‌సైట్‌లను సెన్సార్ చేయడానికి మరియు ఇంటర్నెట్ ట్రాఫిక్‌ను మార్చడానికి ఉపయోగించే గ్రేట్ ఫైర్‌వాల్ (GFW)పై నటుడికి నియంత్రణ ఉందని అనుమానిస్తున్నారు.

హ్యాకర్ గ్రూప్ పేరు చైనీస్ IP చిరునామాల నుండి అభ్యర్థనలను పంపడానికి DNS ఓపెన్ రిజల్వర్స్ (ఏదైనా IP చిరునామా నుండి ప్రశ్నలను అంగీకరించే సర్వర్లు) దుర్వినియోగంతో సహా వారి కార్యకలాపాల యొక్క సంక్లిష్టమైన మరియు గందరగోళ స్వభావాన్ని ప్రతిబింబిస్తుంది.

ఇతర హ్యాకర్ సమూహాలతో పోల్చినప్పుడు సైబర్ నేరగాళ్లు అసాధారణ లక్షణాలను ప్రదర్శిస్తారు

మడ్లింగ్ మీర్కట్ DNS యొక్క అధునాతన అవగాహనను ప్రదర్శిస్తుంది, ఇది ఈ రోజు ముప్పు నటులలో అసాధారణమైనది - DNS అనేది ప్రత్యర్థులు ప్రభావితం చేసే శక్తివంతమైన ఆయుధం అని స్పష్టంగా ఎత్తి చూపుతుంది. మరింత ప్రత్యేకంగా, ఇది నటుడి స్వంతం కాని .com మరియు .org వంటి ప్రసిద్ధ ఉన్నత-స్థాయి డొమైన్‌ల క్రింద నివసించే డొమైన్‌లకు మెయిల్ మార్పిడి (MX) మరియు ఇతర రికార్డ్ రకాల కోసం DNS ప్రశ్నలను ట్రిగ్గర్ చేస్తుంది.

కస్టమర్ పరికరాల ద్వారా దాని పునరావృత పరిష్కారాలకు పంపబడిన అభ్యర్థనలను రికార్డ్ చేసిన పరిశోధకులు, ఇది 20 కంటే ఎక్కువ డొమైన్‌లను గుర్తించిందని చెప్పారు, కొన్ని ఉదాహరణలు:

4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, f4[.]com, b6[.]com, p3z[ .]com, ob[.]com, ఉదా[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, id[.]com, mv[.] com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com

మడ్లింగ్ మీర్కట్ గ్రేట్ ఫైర్‌వాల్ నుండి ఒక ప్రత్యేక రకమైన నకిలీ DNS MX రికార్డును అందజేస్తుంది, ఇది ఇంతకు ముందెన్నడూ చూడలేదు. ఇది జరగాలంటే, మడ్లింగ్ మీర్కట్ తప్పనిసరిగా GFW ఆపరేటర్‌లతో సంబంధాన్ని కలిగి ఉండాలి. లక్ష్య డొమైన్‌లు ప్రశ్నలలో ఉపయోగించే డొమైన్‌లు, కాబట్టి అవి తప్పనిసరిగా దాడికి గురి కావు. ఇది ప్రోబ్ దాడిని నిర్వహించడానికి ఉపయోగించే డొమైన్. ఈ డొమైన్‌లు మడ్లింగ్ మీర్‌కట్ యాజమాన్యంలో లేవు.

చైనా యొక్క గ్రేట్ ఫైర్‌వాల్ ఎలా పని చేస్తుంది?

గ్రేట్ ఫైర్‌వాల్ (GFW) DNS ప్రతిస్పందనలను మార్చేందుకు DNS స్పూఫింగ్ మరియు ట్యాంపరింగ్ పద్ధతులను ఉపయోగిస్తుంది. వినియోగదారు అభ్యర్థన నిషేధించబడిన కీవర్డ్ లేదా డొమైన్‌తో సరిపోలినప్పుడు, GFW యాదృచ్ఛిక నిజమైన IP చిరునామాలను కలిగి ఉన్న నకిలీ DNS ప్రతిస్పందనలను ఇంజెక్ట్ చేస్తుంది.

సరళంగా చెప్పాలంటే, ఒక వినియోగదారు బ్లాక్ చేయబడిన కీవర్డ్ లేదా డొమైన్‌ను యాక్సెస్ చేయడానికి ప్రయత్నిస్తే, ప్రశ్నను నిరోధించడం లేదా దారి మళ్లించడం ద్వారా యాక్సెస్‌ను నిరోధించడానికి GFW జోక్యం చేసుకుంటుంది. ఈ జోక్యం DNS కాష్ పాయిజనింగ్ లేదా IP అడ్రస్ బ్లాకింగ్ వంటి పద్ధతుల ద్వారా సాధించబడుతుంది.

ఈ ప్రక్రియలో GFW బ్లాక్ చేయబడిన వెబ్‌సైట్‌లకు ప్రశ్నలను గుర్తించడం మరియు వివిధ డొమైన్‌లకు దారితీసే చెల్లని IP చిరునామాలు లేదా IPలను కలిగి ఉన్న నకిలీ DNS ప్రత్యుత్తరాలతో ప్రతిస్పందించడం. ఈ చర్య దాని అధికార పరిధిలోని పునరావృత DNS సర్వర్‌ల కాష్‌ను సమర్థవంతంగా అంతరాయం కలిగిస్తుంది.

మడ్లింగ్ మీర్కట్ బహుశా చైనీస్ నేషన్-స్టేట్ థ్రెట్ యాక్టర్

మడ్లింగ్ మీర్కట్ యొక్క ప్రత్యేక లక్షణం చైనీస్ IP చిరునామాల నుండి ఉత్పన్నమయ్యే తప్పుడు MX రికార్డ్ ప్రతిస్పందనలను ఉపయోగించడం, ఇది సాధారణ గ్రేట్ ఫైర్‌వాల్ (GFW) ప్రవర్తన నుండి నిష్క్రమించడం.

ఈ ప్రతిస్పందనలు చైనీస్ IP చిరునామాల నుండి వచ్చాయి, ఇవి సాధారణంగా DNS సేవలను హోస్ట్ చేయవు మరియు GFW పద్ధతులకు అనుగుణంగా సరికాని సమాచారాన్ని కలిగి ఉంటాయి. అయినప్పటికీ, GFW యొక్క తెలిసిన పద్ధతుల వలె కాకుండా, మడ్లింగ్ మీర్కట్ యొక్క ప్రతిస్పందనలు IPv4 చిరునామాలకు బదులుగా సరిగ్గా ఫార్మాట్ చేయబడిన MX వనరుల రికార్డులను కలిగి ఉంటాయి.

ఇంటర్నెట్ మ్యాపింగ్ లేదా సంబంధిత పరిశోధనలో సంభావ్య ప్రమేయాన్ని సూచించినప్పటికీ, అనేక సంవత్సరాల పాటు కొనసాగుతున్న ఈ కార్యాచరణ వెనుక ఖచ్చితమైన ప్రయోజనం అస్పష్టంగానే ఉంది.

మడ్లింగ్ మీర్కట్, ఒక చైనీస్ రాష్ట్ర నటుడికి ఆపాదించబడింది, దాదాపు ప్రతిరోజూ గ్లోబల్ నెట్‌వర్క్‌లకు వ్యతిరేకంగా ఉద్దేశపూర్వక మరియు అధునాతన DNS కార్యకలాపాలను నిర్వహిస్తుంది, వారి కార్యకలాపాల పూర్తి స్థాయి వివిధ ప్రదేశాలలో విస్తరించి ఉంది.

DNS కార్యకలాపాలను గ్రహించడం కంటే మాల్వేర్‌ను అర్థం చేసుకోవడం మరియు గుర్తించడం చాలా సూటిగా ఉంటుంది. పరిశోధకులు ఏదో జరుగుతున్నట్లు గుర్తించినప్పటికీ, పూర్తి అవగాహన వాటిని తప్పించుకుంటుంది. CISA, FBI మరియు ఇతర ఏజెన్సీలు గుర్తించబడని చైనీస్ కార్యకలాపాల గురించి హెచ్చరిస్తూనే ఉన్నాయి.