LameHug malware uses AI LLM to craft Windows data-theft commands in real-time

LameHugと名付けられた新しいマルウェアファミリーは、侵害されたWindowsシステム上で実行されるコマンドを生成するために大規模言語モデル(LLM)を使用している。

LameHugは、ウクライナの国家サイバーインシデント対応チーム(CERT-UA)によって発見され、この攻撃はロシア国家を後ろ盾とする脅威グループAPT28(別名Sednit、Sofacy、Pawn Storm、Fancy Bear、STRONTIUM、Tsar Team、Forest Blizzard)によるものだとされています。

このマルウェアはPythonで書かれており、Hugging FaceAPIに依存してQwen 2.5-Coder-32B-InstructLLMとやりとりし、与えられたプロンプトに従ってコマンドを生成します。

Alibaba Cloudによって作成されたこのLLMはオープンソースで、コードを生成し、推論し、コーディングに特化した命令に従うように特別に設計されています。LLMは、自然言語の記述を実行可能なコード(複数の言語)やシェルコマンドに変換することができる。

CERT-UAは、7月10日に、侵害されたアカウントから送信され、省庁職員になりすまし、行政機関にマルウェアを配布しようとする悪意のある電子メールに関する報告を受け、LameHugを発見しました。

Malicious email attempting LameHug infection
LameHug感染を試みる悪意あるメール
ソースはこちら:CERT-UA

このメールには、LameHub ローダーを含む ZIP が添付されています。CERT-UAは、「Attachment.pif」、「AI_generator_uncensored_Canvas_PRO_v0.9.exe」、「image.py」という少なくとも3つの亜種を確認しています。

ウクライナの機関は、この活動はロシアの脅威グループAPT28によるものであると中程度の信頼性を示している。

観測された攻撃では、LameHugはLLMへのプロンプトを通じて動的に生成されたシステム偵察とデータ窃取コマンドの実行を命じられていた。

これらのAIが生成したコマンドは、LameHugがシステム情報を収集してテキストファイル(info.txt)に保存し、Windowsの主要ディレクトリ(ドキュメント、デスクトップ、ダウンロード)上のドキュメントを再帰的に検索し、SFTPまたはHTTP POSTリクエストを使用してデータを流出させるために使用されました。

Prompts sent to the LLM for command generation
コマンド生成のために LLM に送信されるプロンプト
Source:CERT-UA

LameHugは、攻撃者のタスクを実行するためのLLMサポートを含む、公に文書化された最初のマルウェアです。

技術的な観点からは、新たなペイロードを必要とすることなく、脅威行為者が侵害中に戦術を適応させることができる新たな攻撃パラダイムの先駆けとなる可能性があります。

さらに、Hugging Faceのインフラをコマンド・アンド・コントロールの目的で使用することで、通信をよりステルス化し、侵入をより長期間検知されないようにすることができる。

また、動的に生成されるコマンドを使用することで、ハードコードされたコマンドを探すセキュリティ・ソフトウェアや静的解析ツールによってマルウェアが検出されないようにすることもできる。

CERT-UAは、LameHugによって実行されたLLM生成コマンドが成功したかどうかについては明言していない。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; /*object-fit: cover;*/ border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}


Wiz

ダミーのためのクラウド検知と対応

新たな脅威がビジネスに影響を及ぼす前に、リアルタイムで対処します。

この実用的でナンセンスなガイドで、クラウド検知と対応(CDR)がセキュリティチームにどのような優位性をもたらすかを学びましょう。