Новые угрозы в кибербезопасности: атаки на оборонный сектор
Национальная команда по реагированию на киберинциденты CERT-UA зафиксировала новую волну кибератак, нацеленных на оборонный сектор.
Было обнаружено, что электронные письма, якобы поступившие от представителей соответствующего министерства, содержали вложения в виде файла «Приложение.pdf.zip».
Этот ZIP-архив включал файл с расширением «.pif», созданный с помощью PyInstaller и классифицируемый CERT-UA как вредоносное программное обеспечение LAMEHUG.
Примечательно, что LAMEHUG использует LLM (большую языковую модель) для генерации команд на основе их описания. После попадания на компьютер программа начинает сбор информации и рекурсивный поиск документов для их копирования.
С умеренной степенью уверенности эта активность связывается с группировкой UAC-0001 (APT28), которая контролируется российскими спецслужбами.
