Команда функціонує в

складі Держспецзв'язку

Команда функціонує в

складі Держспецзв'язку

ГоловнаНовини

Кібератаки UAC-0001 на сектор безпеки та оборони із застосуванням програмного засобу LAMEHUG, що використовує LLM (велику мовну модель) (CERT-UA#16039)

Кібератаки UAC-0001 на сектор безпеки та оборони із застосуванням програмного засобу LAMEHUG, що використовує LLM (велику мовну модель) (CERT-UA#16039)

17.07.2025

Загальна інформація

Національною командою реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA 10.07.2025 отримано інформацію щодо розповсюдження серед органів виконавчої влади, начебто від імені представника профільного міністерства, електронних листів із вкладенням у вигляді файлу "Додаток.pdf.zip".

Згаданий ZIP-архів містив одноіменний виконуваний файл із розширенням ".pif", сконвертований за допомогою PyInstaller з вихідного коду, розробленого на мові програмування Python, класифікованого CERT-UA як (шкідливий) програмний засіб LAMEHUG.

Під час дослідження інциденту додатково виявлено щонайменше два варіанти згаданого програмного засобу у вигляді файлів "AI_generator_uncensored_Canvas_PRO_v0.9.exe", "image.py" з функціональними відмінностями в частині способу ексфільтрації даних з ЕОМ.

Слід зауважити, що для розповсюдження електронних листів використано скомпрометований обліковий запис електронної пошти, а інфраструктура управління розгорнута на легітимних, проте скомпрометованих ресурсах.

Очевидною особливістю LAMEHUG є застосування LLM (великої мовної моделі), використаної для генерації команд на основі їх текстового представлення (опису).

З помірним рівнем впевненості активність асоційовано з діяльністю UAC-0001 (APT28).


LAMEHUG - програма, розроблена з використанням мови програмування Python. Використовує LLM Qwen 2.5-Coder-32B-Instruct через API сервісу huggingface[.]co для формування команд на основі статично завданого тексту (опису) з метою їх подальшого виконання на ЕОМ. Зокрема, передбачено збір (та збереження у файлі "%PROGRAMDATA%\info\info.txt") базової інформації про комп'ютер (апаратне забезпечення, процеси, служби, мережеві з'єднання), а також рекурсивний пошук документів Microsoft Office (в т.ч. TXT, PDF) в каталогах "Documents", "Downloads" та "Desktop" та їх копіювання до папки "%PROGRAMDATA%\info\". Ексфільтрація отриманої інформації та файлів (у різних версіях програми) може здійснюватися за допомогою SFTP або HTTP POST-запитів.


Індикатори кіберзагроз

Файли:

7f7e8d9bbb835f03084d088d5bb722af	8013b23cb78407675f323d54b6b8dfb2a61fb40fb13309337f5b662dbd812a5d	Додаток.pdf.zip 
abe531e9f1e642c47260fac40dc41f59	766c356d6a4b00078a0293460c5967764fcd788da8c1cd1df708695f3a15b777	Додаток.pif (LAMEHUG)
cafe08392d476a057d85de4983bac94e	a30930dfb655aa39c571c163ada65ba4dec30600df3bf548cc48bedd0e841416	Додаток.pdf (decoy)
3ca2eaf204611f3314d802c8b794ae2c	d6af1c9f5ce407e53ec73c8e7187ed804fb4f80cf8dbd6722fc69e15e135db2e	AI_generator_uncensored_Canvas_PRO_v0.9.exe (LAMEHUG)
f72c45b658911ad6f5202de55ba6ed5c	bdb33bbb4ea11884b15f67e5c974136e6294aa87459cdc276ac2eea85b1deaa3	AI_image_generator_v0.95.exe (LAMEHUG)
81cd20319c8f0b2ce499f9253ce0a6a8	384e8f3d300205546fb8c9b9224011b3b3cb71adc994180ff55e1e6416f65715	image.py (LAMEHUG)

Хостові:

%PROGRAMDATA%\info\
%PROGRAMDATA%\info\info.txt
%PROGRAMDATA%\Додаток.pdf
cmd.exe /c "mkdir %PROGRAMDATA%\info && systeminfo >> %PROGRAMDATA%\info\info.txt && wmic computersystem get name,manufacturer,model >> %PROGRAMDATA%\info\info.txt && wmic cpu get name,speed >> %PROGRAMDATA%\info\info.txt && wmic memorychip get capacity,speed >> %PROGRAMDATA%\info\info.txt && wmic diskdrive get model,size >> %PROGRAMDATA%\info\info.txt && wmic nic get name,macaddress,ipaddress >> %PROGRAMDATA%\info\info.txt && tasklist >> %PROGRAMDATA%\info\info.txt && net start >> %PROGRAMDATA%\info\info.txt && ipconfig /all >> %PROGRAMDATA%\info\info.txt && whoami /user >> %PROGRAMDATA%\info\info.txt && whoami /groups >> %PROGRAMDATA%\info\info.txt && net config workstation >> %PROGRAMDATA%\info\info.txt && dsquery user -samid %username% >> %PROGRAMDATA%\info\info.txt && dsquery computer -name %COMPUTERNAME% >> %PROGRAMDATA%\info\info.txt && dsquery group >> %PROGRAMDATA%\info\info.txt && dsquery ou >> %PROGRAMDATA%\info\info.txt && dsquery site >> %PROGRAMDATA%\info\info.txt && dsquery subnet >> %PROGRAMDATA%\info\info.txt && dsquery server >> %PROGRAMDATA%\info\info.txt && dsquery domain >> %PROGRAMDATA%\info\info.txt"

Мережеві:

boroda70@meta[.]ua (скомпрометований обліковий запис)
(tcp)://144[.]126.202.227:22
stayathomeclasses[.]com (скомпрометований ресурс)
hXXps://stayathomeclasses[.]com/slpw/up.php
144[.]126.202.227 (вірогідно скомпрометований ресурс)
192[.]36.27.37 (LeVPN; відправка електронних листів)
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:140.0) Gecko/20100101 Firefox/140.0

Графічні зображення

Рис. 1 Приклад ланцюга ураження

За темою «ШПЗ»

04.08.2025

Оновлений інструментарій UAC-0099: MATCHBOIL, MATCHWOK, DRAGSTARE

21.06.2025

Кібератаки UAC-0001 (APT28) у відношенні державних органів із застосуванням BEARDSHELL та COVENANT

06.04.2025

Цільова шпигунська активність UAC-0226 у відношенні осередків інновацій, державних і правоохоронних органів з використанням стілеру GIFTEDCROOK (CERT-UA#14303)

01.04.2025

UAC-0219: кібершпигунство з використанням PowerShell-стілеру WRECKSTEEL (CERT-UA#14283)

18.03.2025

UAC-0200: Шпигунство за оборонно-промисловим комплексом за допомогою DarkCrystal RAT (CERT-UA#14045)

Більше новин