LaneHug не следует сценарию. Он запрашивает у большой языковой модели (LLM) информацию о том, как атаковать, и адаптируется в режиме реального времени. Logpoint предоставляет возможности, помогающие командам SOC обнаружить новую угрозу.
Копенгаген, 31 июля 2025 г. – Впервые вредоносное ПО на основе искусственного интеллекта (ИИ) было использовано в кибератаке, приписываемой APT28: LameHug. Украинский центр по выявлению угроз (CERT-UA) раскрыл эту разработку. Исследователи безопасности Logpoint опубликовали техническую оценку вредоносного ПО, чтобы предоставить группам SOC полезную информацию, необходимую для обнаружения новой угрозы.
LameHug — нетипичное вредоносное ПО с жёстко заданными командами. Оно использует большую языковую модель (LLM) для оценки сети жертвы и последующего построения стратегий атаки, увеличивающих наносимый ущерб. Logpoint призывает поставщиков критически важной национальной инфраструктуры (CNI) и управляемых услуг безопасности (MSSP) быть бдительными, поскольку ожидается, что APT28 расширит использование атак с использованием ИИ, и за ней последуют другие.
«Мы вступаем в новую эру киберугроз. LameHug не следует предопределённым инструкциям, а запрашивает у LLM информацию о том, как атаковать наиболее эффективно, исходя из особенностей систем жертв. Генерация специальных полезных нагрузок и проведение целевых атак становится всё дешевле и быстрее», — говорит Christian Have, технический директор Logpoint. «Чтобы идти в ногу со временем, мы должны пересмотреть наши методы обнаружения, реагирования и защиты. ИИ не может быть просто частью проблемы. Он должен стать частью решения».
В отчёте CERT-UA отмечается, что вредоносное ПО было получено через фишинговое электронное письмо от имени украинского чиновника. Прикреплённый ZIP-архив содержал исполняемый файл на Python, созданный с помощью PyInstaller, который позже был классифицирован как LameHug. Это сочетание привычного и современного, и именно это делает его таким опасным.
«Инновации в области ИИ в сфере программ-вымогателей набирают обороты. Мы ожидаем, что ИИ будет планировать фишинговые атаки, договариваться о выплате выкупа и разворачивать крошечные LLM-модули на устройствах, которые никогда не будут связаны с облаком», — говорит Christian Have. «Защитникам придётся обнаруживать «пакеты подсказок» вместо вредоносных программ, а это значит, что сигналы будут слабыми. Как специалисты по защите, мы можем использовать LLM-модули, чтобы сопоставлять данные и выявлять намерения в сигналах, которые сами по себе кажутся безобидными. Они помогут нам увидеть последовательность атаки по мере её развития».
Новые стратегии требуют современных подходов к защите. Чтобы помочь командам SOC противостоять этому новому классу угроз, Logpoint представляет следующие возможности:
- Запросы на обнаружение угроз на основе известных индикаторов компрометации (IoC), а также тактик, методов и процедур (TTP)
- Логика обнаружения и источники журналов для выявления подозрительной активности API
- Методические пособия SOAR для автоматизации сдерживания, расследования и устранения последствий
Источник: Logpoint releases detection advisory for the AI-powered ‘LameHug’ malware
