LAMEHUG: вредоносное ПО, использующее динамические команды, сгенерированные ИИ
Оригинал: LAMEHUG: Malware Leveraging Dynamic AI-Generated Commands
В июле 2025 года украинские органы сообщили о появлении LAMEHUG, нового вредоносного ПО на базе ИИ, которое они атрибутировали APT28, актору угроз, по их оценке связанному с российским государством и также отслеживаемому как Forest Blizzard или UAC-0001. LAMEHUG использует большую языковую модель (LLM), чтобы динамически генерировать команды на зараженных хостах.
Кампания началась с фишинговой атаки: злоумышленники использовали скомпрометированную государственную учетную запись электронной почты, чтобы доставить вредоносный ZIP-архив, замаскированный под Appendix.pdf.zip. Архив содержал вредоносное ПО LAMEHUG, исполняемый файл на базе Python, упакованный с помощью PyInstaller. При выполнении вредоносное ПО обращается к эндпоинту LLM, чтобы генерировать вредоносные команды из промптов на естественном языке. Динамически сгенерированные команды могут усложнять обнаружение вредоносного ПО. LAMEHUG был настроен на сбор файлов из локальной системы и их эксфильтрацию.
Процедура
- AML.TA0004 Первичный доступ
AML.T0012 Действующие учетные записи
APT28 получила доступ к скомпрометированной официальной учетной записи электронной почты. - AML.TA0015 Латеральное перемещение
AML.T0052 Фишинг
APT28 отправила с этой учетной записи фишинговое письмо с вложением, содержащим вредоносное ПО. - AML.TA0007 Уклонение от защиты
AML.T0073 Имперсонация
В письме злоумышленники выдавали себя за представителя государственного министерства. - AML.TA0007 Уклонение от защиты
AML.T0074 Маскировка
Вложение называлосьAppendix.pdf.zip, что могло заставить получателя принять его за легитимный PDF-файл. - AML.TA0005 Выполнение
AML.T0011 Запуск пользователем
Вложение содержало исполняемый файл с расширением.pif, созданный из Python-кода с помощью PyInstaller. CERT-UA классифицировал его как LAMEHUG. Файлы с расширением.pifявляются исполняемыми в Windows. - AML.TA0001 Подготовка атаки на ИИ
AML.T0102 Генерация вредоносных команд
LAMEHUG злоупотреблял Hugging Face API модели Qwen 2.5 Coder 32B Instruct, чтобы генерировать вредоносные команды из промптов на естественном языке. - AML.TA0009 Сбор материалов
AML.T0037 Данные из локальной системы
LAMEHUG использовал команды, сгенерированные ИИ, для сбора сведений о системе с сохранением в%PROGRAMDATA%\info\info.txt, а также рекурсивно просматривал папки Documents, Desktop и Downloads, чтобы подготовить файлы к эксфильтрации. - AML.TA0010 Эксфильтрация
AML.T0025 Эксфильтрация киберсредствами
LAMEHUG эксфильтровал собранные данные на серверы под контролем злоумышленников через SFTP или HTTP POST-запросы.