Комиссар по информации разослал электронное письмо неизвестным адресатам

Комиссар по информации разослал электронное письмо неизвестным адресатам

 Комиссар по информации австралийского штата Новый Юижний Уэльс, в прямые обязанности которого входит разработка и внедрение законов и стандартов в сфере информационных технологий, а также контроль за соблюдением данных законов и стандартов на территории штата, случайно разослал электронное письмо не тем адресатам.

В данном письме содержалась информация о конференции, на которой комиссар по информации штата Новый Нижний Уэльс Дейрдре О‘Доннел (Deirdre O’Donnell) должна была выступать. Однако письмо, предназначавшееся членам NSW Public Sector Right to Information/Privacy Practitioners Network, разошлось неизвестным адресатам. Обнаружив ошибку, О‘Доннел поспешила принести публичные извинения всем, кто по ошибке получил это письмо. Заявив, что инцидент произошел в результате административной ошибки, допущенной сотрудниками ее ведомства. О‘Доннел заверила всех случайных получателей, что их email-адреса были использованы абсолютно случайно, без умысла и нарушения конфиденциальности кого–либо из владельцев данных адресов.

По словам Дейрдре О‘Доннел, на рабочих компьютерах ее ведомства содержатся два отдельных списка подписчиков на рассылку. Один из них – список подписчиков на общую рассылку и второй – список членов NSW Public Sector Right to Information/Privacy Practitioners Network. Так что причиной инцидента стало то, что сотрудники ведомства перепутали списки и разослали письмо, предназначавшееся NSW Public Sector Right to Information/Privacy Practitioners Network, на адреса электронной почты, содержащиеся в списке подписчиков на общую рассылку. Она также заявила, что поскольку вышеуказанное электронное письмо разослано анонимным адресатам, персональной информации кого-либо из данных адресатов ничего не угрожает.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru