Telegram опять в дауне, на этот раз, похоже, масштабно

Telegram опять в дауне, на этот раз, похоже, масштабно

Telegram опять в дауне, на этот раз, похоже, масштабно

Сегодня утром, 27 февраля, пользователи Telegram обнаружили, что мессенджер недоступен. В основном сбоит веб-версия, у некоторых — также приложения.

По данным DownDetector, проблемы начались в 10:35, а в районе полудня число жалоб на отсутствие связи резко возросло.

 

Сбои наблюдаются на большей части России; в соцсетях больше прочих жалуются москвичи и петербуржцы. У некоторых счастливчиков зависла только загрузка картинок. Судя по комментариям, в некоторых регионах пользователям удается решить проблему с помощью VPN.

К часу дня в информационном канале Telegram появилось сообщение, подтверждающее проблемы с доступом на западе России и в Сибири, притом как у провайдеров, так и у операторов сотовой связи. Кстати, графика к этому посту сейчас тоже не грузится.

Причины пока не известны. В прошлом году популярный мессенджер многократно сбоил в России, и не только; по чьей вине — можно было только гадать.

Update. Россияне сегодня жаловались также на сбой YouTube, Viber, Skype, Zoom, Discord, WhatsApp. Многие решили, что это проблемы оператора связи — МТС, «Мегафона», «Билайна», Tele2, Yota, однако оказалось, что их сети работают штатно.

Около двух дня Минцифры РФ в своем телеграм-канале сообщило, что работа мессенджеров и других сервисов восстанавливается (команда Anti-Malware.ru уже ощутила это). Примечательно, что сбой Telegram наблюдался и в других странах.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru