APT28 использует языковые модели для атак на украинскую оборону

Инцидент начался 10 июля 2025 г., когда CERT-UA получил информацию о массовом распространении фишинговых электронных писем. Злоумышленники, используя скомпрометированные аккаунты электронной почты, имитировали письма от имени представителей профильных министерств. Сообщения содержали привлекательный вложенный файл с названием "Приложение.pdf.zip". Этот архив, однако, скрывал не документ, а исполняемый файл с расширением ".pif". Анализ показал, что этот файл был создан с помощью инструмента PyInstaller из исходного кода, написанного на Python, и классифицирован как вредоносное программное средство LAMEHUG.

Главной инновацией и угрозой LAMEHUG является его интеграция с большой языковой моделью Qwen 2.5-Coder-32B-Instruct через API сервиса huggingface[.]co. Это позволяет вредоносному ПО генерировать конкретные системные команды на основе статического текстового описания задач. Фактически LAMEHUG использует мощность LLM как "мозг" для интерпретации инструкций и их адаптации под конкретную среду, что делает его поведение более гибким и потенциально уникальным для каждой инфицированной системы, затрудняя обнаружение сигнатурами. После инфицирования система LAMEHUG начинает со сбора базовой информации о компьютере жертвы. Он тщательно документирует аппаратное обеспечение, запущенные процессы, активные службы и сетевые соединения, сохраняя эти данные в файле "%PROGRAMDATA%\info\info.txt". Следующим шагом является целенаправленный поиск конфиденциальных документов. Программа рекурсивно сканирует ключевые пользовательские каталоги - "Documents", "Downloads" и "Desktop" - в поиске файлов Microsoft Office (например, Word, Excel), текстовых документов (TXT) и PDF-файлов. Обнаруженные документы автоматически копируются в специальную папку "%PROGRAMDATA%\info\", готовясь к похищению.

CERT-UA обнаружили по меньшей мере две разные версии LAMEHUG, отличающиеся методами эксфильтрации похищенных данных. Одна версия использует протокол SFTP (Secure File Transfer Protocol) для передачи файлов на контролируемые злоумышленниками сервера. Другая версия посылает данные с помощью HTTP POST-запросов, возможно маскируя трафик под обычный веб-просмотр. Особенно тревожно то, что вся инфраструктура управления этими атаками развернута на легитимных, но скомпрометированных ресурсах. Это означает, что серверы, используемые для управления бот-сетью или приема данных, могут принадлежать совершенно несвязанным организациям или частным лицам, чьи системы были предварительно сломаны.

Такая тактика значительно усложняет отслеживание источников атак и их блокировку. CERT-UA с умеренным уровнем уверенности ассоциирует эту активность с группировкой UAC-0001 (APT28), известной своими высокотехнологичными целевыми атаками на правительственные и оборонные учреждения разных стран, в частности, Украины. Использование LLM является логическим развитием их возможностей, что позволяет создавать более адаптивные и сложные для обнаружения инструменты.

IPv4

• 144.126.202.227
• 192.36.27.37

IPv4 Port Combinations

• 144.126.202.227:22

Domains

• stayathomeclasses.com

URLs

• https://stayathomeclasses.com/slpw/up.php

Emails

• boroda70@meta.ua

MD5

• 3ca2eaf204611f3314d802c8b794ae2c
• 7f7e8d9bbb835f03084d088d5bb722af
• 81cd20319c8f0b2ce499f9253ce0a6a8
• abe531e9f1e642c47260fac40dc41f59
• cafe08392d476a057d85de4983bac94e
• f72c45b658911ad6f5202de55ba6ed5c

SHA256

• 384e8f3d300205546fb8c9b9224011b3b3cb71adc994180ff55e1e6416f65715
• 766c356d6a4b00078a0293460c5967764fcd788da8c1cd1df708695f3a15b777
• 8013b23cb78407675f323d54b6b8dfb2a61fb40fb13309337f5b662dbd812a5d
• a30930dfb655aa39c571c163ada65ba4dec30600df3bf548cc48bedd0e841416
• bdb33bbb4ea11884b15f67e5c974136e6294aa87459cdc276ac2eea85b1deaa3
• d6af1c9f5ce407e53ec73c8e7187ed804fb4f80cf8dbd6722fc69e15e135db2e