HackerNews 编译,转载请注明出处:
乌克兰计算机应急响应小组(CERT-UA)近期发出警报,发现一种名为LameHug的新型恶意软件。该软件利用大语言模型(LLM) 在受感染的Windows系统上生成并执行攻击指令。乌克兰专家将其归因于与俄罗斯有关的黑客组织APT28(又名UAC-0001、Fancy Bear、Pawn Storm、Sofacy Group、Sednit、BlueDelta和STRONTIUM)。
CERT-UA在警报中指出:“LAMEHUG的显著特征是使用了LLM(大语言模型),根据其文本描述生成可执行命令。我们有中等把握认为该活动与UAC-0001(APT28)组织有关。”
2025年7月10日,CERT-UA发现一起针对政府部门的钓鱼攻击活动,攻击者通过伪装成政府文件的ZIP压缩包进行传播。该压缩包内含伪装成.pif文件的LAMEHUG恶意软件,该软件使用Python编写并通过PyInstaller打包。研究人员发现存在两种不同数据窃取方式的变体。攻击者使用了被入侵的电子邮箱账户,并将基础设施托管在合法但已被攻陷的平台上。
LAMEHUG通过huggingface[.]co服务API调用Qwen 2.5-Coder-32B-Instruct模型,基于静态输入的文本描述生成攻击指令。Qwen 2.5-Coder-32B-Instruct是由阿里巴巴Qwen团队开发的开源大语言模型,专门针对编程任务进行了优化。
该恶意软件会收集系统信息,并在常见文件夹中搜索Office、PDF和TXT文档。收集的数据先存储在本地,然后通过SFTP或HTTP POST方式外传。警报中详细说明:“该软件会收集计算机基本信息(硬件配置、进程、服务、网络连接)并存储在‘%PROGRAMDATA%\info\info.txt’文件中,同时递归搜索‘文档’、‘下载’和‘桌面’目录中的Microsoft Office文档(包括TXT和PDF文件),将其复制到‘%PROGRAMDATA%\info’文件夹。不同版本的程序会使用SFTP或HTTP POST请求外传获取的信息和文件。”
LameHug是已知首款利用LLM生成攻击指令的恶意软件,使威胁行为者能够根据实际需求动态调整攻击链。该报告还包含了相关网络威胁指标。
消息来源: securityaffairs;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文