LAMEHUG: вредоносное ПО, использующее динамические команды, сгенерированные ИИ

Оригинал: LAMEHUG: Malware Leveraging Dynamic AI-Generated Commands

В июле 2025 года украинские органы сообщили о появлении LAMEHUG, нового вредоносного ПО на базе ИИ, которое они атрибутировали APT28, актору угроз, по их оценке связанному с российским государством и также отслеживаемому как Forest Blizzard или UAC-0001. LAMEHUG использует большую языковую модель (LLM), чтобы динамически генерировать команды на зараженных хостах.

Кампания началась с фишинговой атаки: злоумышленники использовали скомпрометированную государственную учетную запись электронной почты, чтобы доставить вредоносный ZIP-архив, замаскированный под Appendix.pdf.zip. Архив содержал вредоносное ПО LAMEHUG, исполняемый файл на базе Python, упакованный с помощью PyInstaller. При выполнении вредоносное ПО обращается к эндпоинту LLM, чтобы генерировать вредоносные команды из промптов на естественном языке. Динамически сгенерированные команды могут усложнять обнаружение вредоносного ПО. LAMEHUG был настроен на сбор файлов из локальной системы и их эксфильтрацию.

Процедура

  1. AML.TA0004 Первичный доступ

    AML.T0012 Действующие учетные записи

    APT28 получила доступ к скомпрометированной официальной учетной записи электронной почты.
  2. AML.TA0015 Латеральное перемещение

    AML.T0052 Фишинг

    APT28 отправила с этой учетной записи фишинговое письмо с вложением, содержащим вредоносное ПО.
  3. AML.TA0007 Уклонение от защиты

    AML.T0073 Имперсонация

    В письме злоумышленники выдавали себя за представителя государственного министерства.
  4. AML.TA0007 Уклонение от защиты

    AML.T0074 Маскировка

    Вложение называлось Appendix.pdf.zip, что могло заставить получателя принять его за легитимный PDF-файл.
  5. AML.TA0005 Выполнение

    AML.T0011 Запуск пользователем

    Вложение содержало исполняемый файл с расширением .pif, созданный из Python-кода с помощью PyInstaller. CERT-UA классифицировал его как LAMEHUG. Файлы с расширением .pif являются исполняемыми в Windows.
  6. AML.TA0001 Подготовка атаки на ИИ

    AML.T0102 Генерация вредоносных команд

    LAMEHUG злоупотреблял Hugging Face API модели Qwen 2.5 Coder 32B Instruct, чтобы генерировать вредоносные команды из промптов на естественном языке.
  7. AML.TA0009 Сбор материалов

    AML.T0037 Данные из локальной системы

    LAMEHUG использовал команды, сгенерированные ИИ, для сбора сведений о системе с сохранением в %PROGRAMDATA%\info\info.txt, а также рекурсивно просматривал папки Documents, Desktop и Downloads, чтобы подготовить файлы к эксфильтрации.
  8. AML.TA0010 Эксфильтрация

    AML.T0025 Эксфильтрация киберсредствами

    LAMEHUG эксфильтровал собранные данные на серверы под контролем злоумышленников через SFTP или HTTP POST-запросы.

Источники

  1. LameHug malware uses AI LLM to craft Windows data-theft commands in real-time
  2. UAC-0001 cyberattacks on the security and defense sector using the LAMEHUG software tool, which uses LLM (large language model) (CERT-UA#16039)
  3. APT28's New Arsenal: LAMEHUG, the First AI-Powered Malware