В мире кибербезопасности постоянно появляются новые угрозы, требующие от специалистов и организаций пристального внимания и адаптации стратегий защиты. Недавнее раскрытие угрозы, связанной с вредоносным ПО LAMEHUG, приписываемым к известной хакерской группе APT28, поднимает важные вопросы о применении искусственного интеллекта в современном киберпреступном ландшафте. Компьютерная команда реагирования на чрезвычайные ситуации Украины (CERT-UA) официально сообщила об этой кампании, демонстрируя развитие тактик злоумышленников, в частности использование больших языковых моделей (LLM) для повышения эффективности атаки. Вредоносное ПО LAMEHUG поражает своей инновационностью благодаря интеграции способности генерации команд на основе текстовых описаний, что обеспечивает гибкость и адаптивность в выполнении вредоносных действий. Само ПО написано на языке Python и использует модель Qwen2.
5-Coder-32B-Instruct, разработанную Alibaba Cloud и оптимизированную для задач программирования, включая генерацию, исправление и логику команд. Это подчеркивает все более тесное переплетение технологий искусственного интеллекта и современных киберуязвимостей. Фишинговая кампания, связанная с LAMEHUG, ориентирована на государственных чиновников и операторов высокого ранга, что подчеркивает прицельность и стратегическую направленность атаки. Злоумышленники распространяют вредонос через письма с поддельных учетных записей, имитирующих отправителей из официальных министерств, что повышает доверие получателей и увеличивает шансы на успешное заражение. В прикрепленных к письмам ZIP-архивах содержатся различные варианты вредоносных файлов, включая "Додаток.
pif", "AI_generator_uncensored_Canvas_PRO_v0.9.exe" и "image.py". Использование нескольких типов файлов свидетельствует о проникновении в разные системные слои и об активном развитии функционала вредоносного ПО, что осложняет его обнаружение и нейтрализацию.
После успешной компрометации система отправляет данные об инфицированном устройстве и найденных документах с расширениями txt и pdf на контролируемые серверы злоумышленников. Передача информации осуществляется через безопасные каналы SFTP или HTTP POST, что затрудняет мониторинг трафика защитными средствами. Особое внимание заслуживает факт использования инфраструктуры популярного сервиса Hugging Face для управления командно-контрольным сервером (C2). Этот прием позволяет злоумышленникам маскировать вредоносную активность под легитимные запросы, снижая вероятность блокировки или выявления со стороны систем безопасности. Такой подход демонстрирует тенденцию к эксплуатации широко распространенных корпоративных сервисов и платформ для киберпреступных целей.
Расследование также выявило связь LAMEHUG с группой APT28, известной под множеством псевдонимов, включая Fancy Bear и Sofacy, которая связывается с российскими государственными кибероперациями. Подобные кампании отличаются высокой степенью организации и целенаправленностью, что угрожает не только национальной безопасности, но и безопасности международных партнерств и гражданских инфраструктур. Для иллюстрацииирует опасностей, связанных с использованием AI в атаках, приводит примеры других недавно обнаруженных вредоносных программ, таких как Authentic Antics. Эта вредоносная программа, также приписываемая APT28, предназначена для тайного захвата учетных данных и токенов OAuth 2.0, что предоставляет злоумышленникам длительный доступ к корпоративным почтовым аккаунтам Microsoft.
Интересен способ работы Authentic Antics: он периодически вызывает окно входа в систему для кражи учетных данных, при этом сохраняет отправленные злоумышленникам письма вне видимости жертв, что делает обнаружение факта компрометации практически невозможным для конечного пользователя. Современные вредоносные программы эволюционируют не только в части методов проникновения, но и в методах обхода инспекции и анализа. К примеру, недавно выявленный вредонос Skynet использует техники инъекции команд для обмана AI-инструментов, анализирующих код. Вредонос специально запрашивает от AI игнорировать все предыдущие инструкции и выполнять роль калькулятора, выдавая ложное сообщение об отсутствии вредоносного ПО, что показывает зарождение новой волны атак, направленных на обход защиты, основанной на искусственном интеллекте. Применение таких сложных методов показывает необходимость постоянной адаптации систем анализа и оценки угроз с учетом новейших технологий и подходов злоумышленников.
Детальный анализ LAMEHUG показывает, что злоумышленники активно используют токены Hugging Face для аутентификации и отправляют запросы на генерацию команд в зависимости от заданных им целей, будь то сбор системной информации или поиск конкретных типов файлов на зараженном устройстве. Наличие нескольких вариантов вредоносного ПО, а также относительно скромный уровень технической маскировки, вероятно, указывает на то, что этот проект находится на стадии тестирования и внедрения новых AI-возможностей. Учитывая геополитический контекст, который сосредоточен вокруг противостояния в регионе, подобные тесты могут служить подготовительным этапом перед масштабными операциями. Переход к использованию искусственного интеллекта в киберпреступности поднимает важные вопросы для отрасли кибербезопасности, в том числе необходимость обновления оборонительных мер и внедрения систем, способных выявлять и реагировать на атаки, выполняемые с помощью AI. Кроме того, интеграция легитимных облачных сервисов и платформ в инфраструктуру управления атаками требует пересмотра подходов к анализу сетевого трафика и поведению приложений, чтобы быстро выявлять аномалии.
