Ukrayna’nın Bilgisayar Acil Müdahale Ekibi (CERT-UA), Lamehug’un ortaya çıktığını açıkça bildirdi ve büyük dil modeli (LLM) yeteneklerini doğrudan saldırı zincirine gömmek için açılış kötü amaçlı yazılım olarak işaretledi.
Bu kampanya, bakanlık temsilcilerinden iletişim olarak maskelenen kimlik avı e -postaları aracılığıyla Ukrayna hükümet yetkililerini hedefliyor.
Bu e-postalar, ekstraksiyon üzerine yürütülen “додаток.pdf.zip” gibi Pyinstaller derlenmiş Python yürütülebilir ürünler içeren zip arşivleri sunar.
CERT-UA, operasyonu Rusya’nın GRU birimine 26165 ile bağlantılı bir tehdit oyuncusu olarak da bilinen APT28’e bağlar.
Keşif ve atıf
Analiz, API kimlik doğrulaması için yaklaşık 270 sarılma yüz belirteçini kullandığını ve bunu devlet destekli siber casuslukta LLM silahlanmasının bir kavram kanıtı (POC) araştırması olarak çerçevelediğini gösteriyor.
Kötü amaçlı yazılımların, gelişmiş gizleme veya kaçaklama taktiklerinden yoksun olan basit kodu, Ukrayna’ya konuşlandırılmasıyla birlikte Rus siber araçlar için bilinen bir test alanı, tamamen operasyonel niyetten ziyade deneysel olduğunu göstermektedir.
“Додаток.pif”, “save_document.py”, “ai_generator_uncensored_canvas_pro_v0.9.exe,” ai_image_generator_v0.95.exe, ”ve“ image.py ”, eksfiltrasyon yöntemleri, undersing devam eden tanımlama.
Özünde, Lamehug, Base64 kodlu istemlerden gerçek zamanlı komutlar oluşturmak için Huging Face’in API’sı yoluyla QWEN2.5-Coder-32B-In-Engruct LLM’den dinamik keşif ve veri hasatını sağlıyor.
Örneğin, “додаток.pif” varyant, C: \ ProgramData \ Info’da bir dizin oluşturmak ve WMIC aracılığıyla donanım özelliklerini, görev listesi ile işlem listeleri, ipconfig aracılığıyla ağ yapılandırmalarını ve Active Directory numaralandırmalarını eksfiltration için bir metin dosyasına yerleştirme istemlerini kullanır.
Başka bir istem, belgeler, indirmeler ve masaüstü gibi kullanıcı dizinlerinden ofis belgelerinin, PDF’lerin ve metin dosyalarının özyinelemesini yönlendirir.
Teknik Yenilikler
AI görüntü jeneratörleri olarak gizlenen varyantlar, akış AI API’leri ile gizli bir şekilde arayüz oluştururken ve arka plan veri toplama yürütürken kullanıcıları cezbetmek ve kullanıcıları cezbetmek için “kıvrımlı çıplak kadın oturan, uzun güzel bacaklar, ön görünüm, tam vücut görünümü, görünür yüz” görüntüleri üretme gibi kışkırtıcı istemler kullanıyor.
Kötü amaçlı yazılım akışı, LLM’ye önceden tanımlanmış istemler göndermeyi, özel komut dizileri almayı ve bunları hemen CMD.EXE üzerinden yürütmeyi, SystemInfo, CPU/bellek metrikleri, disk detayları, MAC/IP adresleri, kullanıcı grupları ve reklam yapılarında kapsamlı zeka toplantısını kolaylaştırmayı içerir.
Exfiltration varyant olarak değişir: “image.py”, “додаток.pif” adlı kimlik bilgilerini kullanarak 144.126.202.227:22’ye veri yüklemek için SFTP kullanır.[.]com/slpw/up.php.
Cato Networks raporuna göre, bu LLM güdümlü yaklaşım, dinamik olarak üretilen komutlara karşı imza tabanlı tespit falters, ağ trafiği meşru AI API çağrıları taklit ediyor ve davranışsal analitik, LLM ile çalışan anomaliler için yeni sezgisel tarama talep ediyor.
Güvenlik önerileri, Gölge AI kontrollerini, onaylanmış LLM erişimini, gerçek zamanlı veri kaybını önleme ve CATO CASB gibi araçlar aracılığıyla görünürlüğü vurgular.
Ağ korumaları, ML tabanlı kötü amaçlı yazılım algılama, DNS güvenliği ve AI platformlarına odaklanan uygulama kontrollerini içerir.
Genişletilmiş algılama ve yanıt (XDR) çözümleri AI/ML tehdit avını, otomatik olay korelasyonunu ve tek tıklamayla iyileştirmeyi sağlarken, sıfır-tröst ağ erişimi (ZTNA) mikrodmentasyon lateral hareketi engeller.
Lamehug, AI-Augmented siber tehditlere doğru bir paradigma kaymasına işaret ediyor ve APT28’in POC’su muhtemelen daha rafine yinelemeleri önceden gösteriyor.
Güvenli Erişim Servisi Edge (SASE) platformlarını benimseyen kuruluşlar, entegre davranışsal analiz ve AI-bilen savunmalar yoluyla bu evrimlere karşı koymak için daha iyi donanımlıdır.
Uzlaşma Göstergeleri (IOCS)
| MD5 | SHA256 | Dosya adı |
|---|---|---|
| ABE531E9F1E642C47260FAC40DC41F59 | 766c36d6a4b00078a0293460c596764fcd788da8c1cd1df708695f3a15b777 | Tamamlayıcı[.]pif |
| 3CA2AAF204611F3314D802C8B794AE2C | D6AF1C9F5CE407E53EC73C8E7187ED804FB4F80CF8DBD6722FC69E15E135DB2E | Ai_generator_uncensored_canvas_pro_v0.9[.]exe |
| f72c45b658911ad6f5202de555ba6ed5c | bdb3bbb4ea1184b15f6e5c974136e6294aa87459cdc276ac25b1deaa3 | Ai_image_generator_v0.95[.]exe |
| 81CD20319C8F0B2CE499F9253CE0A6A8 | 384e8f3d300205546fb8c9b9224011b3b3cb71adc994180ff55e1e6416f65715 | İmaj[.]py |
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!