Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA, яка діє при Держспецзв’язку, зафіксувала нові кібератаки на сектор безпеки та оборони.

За наявною інформацією, серед органів виконавчої влади, начебто від імені представника профільного міністерства, розповсюджувалися електронні листи із вкладенням у вигляді файлу «Додаток.pdf.zip».

Згаданий ZIP-архів містив одноіменний файл із розширенням «.pif», сконвертований за допомогою інструменту PyInstaller, розробленого на мові програмування Python, класифікованого CERT-UA як (шкідливий) програмний засіб LAMEHUG.

LAMEHUG – програма, розроблена з використанням мови програмування Python. Очевидною її особливістю є застосування LLM (велика мовна модель – тип штучного інтелекту) для генерації команд на основі їхнього опису. Програма, потрапляючи в комп’ютер, передбачає збір базової інформації про нього (апаратне забезпечення, процеси, служби, мережеві з'єднання), а також здійснює рекурсивний пошук документів Microsoft Office (в т.ч. TXT, PDF) в каталогах «Documents», «Downloads», «Desktop» та копіює їх.

Фахівці CERT-UA зауважують, що для розповсюдження електронних листів, що містять шкідливе програмне забезпечення (ПЗ), використано скомпрометований обліковий запис електронної пошти, а інфраструктура управління розгорнута на легітимних, проте скомпрометованих ресурсах.

CERT-UA з помірним рівнем впевненості асоціює активність з діяльністю хакерського угруповання UAC-0001 (APT28), яке контролюється російськими спецслужбами.

Джерело: https://cip.gov.ua/ua/news/art28-atakuye-sektor-bezpeki-ta-oboroni-za-dopomogoyu-programnogo-zasobu-sho-vikoristovuye-shtuchnii-intelekt