Siber güvenlik manzarası, otomatik siber saldırılar için yapay zeka yeteneklerini entegre etmek için halka açık bir kötü amaçlı yazılım olan Lamehug’un ortaya çıkmasıyla çığır açan ve gelişmeye tanık oldu.
Kötü şöhretli Rus tehdit oyuncusu Grubu APT28 (UAC-0001 ve Forest Blizzard olarak da bilinir) tarafından geliştirilen bu sofistike kötü amaçlı yazılım, siber savaş taktiklerinde, özellikle Ukrayna’nın güvenlik ve savunma sektörünü hedefleyen önemli bir evrimi temsil ediyor.
Lamehug, tehlikeye atılan resmi hükümet hesaplarından gönderilen kimlik avı e -postaları ile başlayan ve kötü niyetli iletişimlere güvenilirlik sağlayan dikkatli bir şekilde düzenlenmiş bir saldırı zinciri aracılığıyla çalışır.
.webp)
Saldırganlar, hükümet bakanlıklarının temsilcileri olarak maskelenir, “Ek.pdf.zip” gibi meşru isimlerle yürütülebilir dosyalar içeren zip arşivleri dağıtıyor.
Bununla birlikte, bu arşivler, sofistike bir sızma işleminin başlangıcını işaretleyerek Python kaynak kodundan Pyinstaller kullanılarak oluşturulan kötü niyetli .PIF dosyaları içerir.
Lamehug’u geleneksel kötü amaçlı yazılımlardan ayıran şey, Hugging Face API’sından erişilen Qwen 2.5 kodlayıcı-32b-in-in-in-homurt modelinin entegrasyonudur.
Logpoint analistleri, AI ile çalışan bu yaklaşımın kötü amaçlı yazılımın doğal dil talimatlarını yürütülebilir sistem komutlarına çevirmesine izin verdiğini ve saldırı yürütmesinde eşi görülmemiş bir esneklik sağladığını belirledi.
Kötü amaçlı yazılım, metin istemlerine dayalı olarak keşif ve veri hırsızlığı komutları oluşturabilir ve önceden programlanmış saldırı dizilerine olan ihtiyacı ortadan kaldırabilir.
.webp)
Kötü amaçlı yazılımların operasyonel yetenekleri, davranışlarını AI tarafından oluşturulan yanıtlara göre uyarlayabildiğinden, geleneksel keşif araçlarının çok ötesine uzanır.
Bu uyarlanabilir doğa, Lamehug’u özellikle tehlikeli hale getirir, çünkü taktiklerini hedef çevreye ve saldırganın gelişen hedeflerine dayanarak gerçek zamanlı olarak değiştirebilir.
A-Drive Tanınma ve Veri Defiltrasyon Mekanizması
Lamehug’un en sofistike özelliği, kötü amaçlı yazılımların dinamik olarak oluşturulan komutlar aracılığıyla kapsamlı sistem numaralandırma yapma yeteneğini gösteren AI destekli keşif yeteneklerinde yatmaktadır.
Kötü amaçlı yazılım, %PROGRAMDATA%\info\ 20’den fazla farklı keşif operasyonu içeren karmaşık bir komut sırası kullanarak sistem bilgilerini sistematik olarak toplar.
AI tarafından oluşturulan komut sırası, WMIC sorguları, ağ yapılandırma ayrıntıları, kullanıcı ayrıcalıkları ve Active Dizin numaralandırması aracılığıyla donanım özellikleri de dahil olmak üzere kritik sistem bilgi toplama işlemlerini kapsar.
Tipik bir keşif dizisi, systeminfo >> %PROGRAMDATA%\info\info.txt Ve wmic computersystem get name,manufacturer,model >> %PROGRAMDATA%\info\info.txtSistemsel olarak uzlaşmış sistemin kapsamlı bir profilini oluşturur.
Keşiften sonra Lamehug, açıklama için belgeleri tanımlamak ve sahne almak için klasörleri, masaüstü ve indirir.
Kötü amaçlı yazılım, daha sonra, 144.126.202.227 ve 192.36.27.37’de IP adreslerindeki saldırgan kontrollü altyapıya toplanan veri iletmek için SFTP ve HTTP Post istekleri de dahil olmak üzere birden fazla exfiltrasyon yöntemi kullanır.
Bu çok vektör yaklaşımı, tehdit aktörleri için operasyonel güvenliği korurken güvenilir veri çıkarma sağlar.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin