• Телефон

    093 385 15 55

  • Email

    info@webnet.co.ua

  • Header-logo
Консультація
Eclips

Головні події інформаційної безпеки

Новини

22 липня 2025 р.

Кібератаки UAC-0001 на сектор безпеки та оборони із застосуванням програмного засобу LAMEHUG

Blog Img

Кібератаки UAC-0001 на сектор безпеки та оборони

Кібератаки UAC-0001 на сектор безпеки та оборони із застосуванням програмного засобу LAMEHUG, що використовує LLM (велику мовну модель) (CERT-UA#16039)
Національною командою реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA отримано інформацію щодо розповсюдження серед органів виконавчої влади, начебто від імені представника профільного міністерства, електронних листів із вкладенням у вигляді файлу “Додаток.pdf.zip”.

Згаданий ZIP-архів містив одноіменний виконуваний файл із розширенням “.pif”, сконвертований за допомогою PyInstaller з вихідного коду, розробленого на мові програмування Python, класифікованого CERT-UA як (шкідливий) програмний засіб LAMEHUG.

Під час дослідження інциденту додатково виявлено щонайменше два варіанти згаданого програмного засобу у вигляді файлів “AIgeneratoruncensoredCanvasPRO_v0.9.exe”, “image.py” з функціональними відмінностями в частині способу ексфільтрації даних з ЕОМ.

Слід зауважити, що для розповсюдження електронних листів використано скомпрометований обліковий запис електронної пошти, а інфраструктура управління розгорнута на легітимних, проте скомпрометованих ресурсах.

Очевидною особливістю LAMEHUG є застосування LLM (великої мовної моделі), використаної для генерації команд на основі їх текстового представлення (опису).

З помірним рівнем впевненості активність асоційовано з діяльністю UAC-0001 (APT28).

LAMEHUG - програма, розроблена з використанням мови програмування Python. Використовує LLM Qwen 2.5-Coder-32B-Instruct через API сервісу huggingface[.]co для формування команд на основі статично завданого тексту (опису) з метою їх подальшого виконання на ЕОМ. Зокрема, передбачено збір (та збереження у файлі “%PROGRAMDATA%\info\info.txt”) базової інформації про комп’ютер (апаратне забезпечення, процеси, служби, мережеві з’єднання), а також рекурсивний пошук документів Microsoft Office (в т.ч. TXT, PDF) в каталогах “Documents”, “Downloads” та “Desktop” та їх копіювання до папки “%PROGRAMDATA%\info". Ексфільтрація отриманої інформації та файлів (у різних версіях програми) може здійснюватися за допомогою SFTP або HTTP POST-запитів.
Посилання на статтю https://cert.gov.ua/article/6284730

Автор

Команда WebNetwork

Популярні статті