LaneHug не діє за заздалегідь заданим сценарієм. Він звертається до великої мовної моделі (LLM) щоб отримати інструкції для атаки, та адаптується у режимі реального часу. Logpoint надає нові можливості, які допомагають командам SOC виявити цю загрозу.
Копенгаген, 31 липня 2025 р. – Вперше у реальній кібератаці, пов’язаній із APT28, було використано шкідливе ПЗ на основі штучного інтелекту (ШІ) — LameHug. Цей факт виявила українська команда реагування на комп’ютерні надзвичайні події (CERT-UA). Дослідники безпеки Logpoint опублікували технічний аналіз цього шкідливого ПЗ, щоб надати командам SOC практичні інсайти для його виявлення.
LameHug – нетипове шкідливе програмне забезпечення з жорстко заданими командами. Воно використовує велику мовну модель (LLM) для оцінки мережі жертви і подальшої побудови стратегій атаки, що збільшують шкоду, що завдається.
Logpoint закликає постачальників критично важливої національної інфраструктури (CNI) та керованих послуг безпеки (MSSP) бути пильними, оскільки очікується, що APT28 розширить використання атак з використанням ШІ.
«Ми вступаємо в нову еру кіберзагроз. LameHug не виконує наперед визначених інструкцій – воно запитує у LLM, як атакувати найбільш ефективним способом, виходячи з систем жертви. Стає все дешевше й швидше створювати індивідуальні payload-и та проводити таргетовані атаки», — говорить Christian Have, технічний директор Logpoint. «Щоб йти в ногу з часом, ми маємо переглянути наші методи виявлення, реагування та захисту. ШІ не може бути просто частиною проблеми. Він має стати частиною рішення».
У звіті CERT-UA зазначається, що шкідливе програмне забезпечення було отримане через фішинговий електронний лист від імені українського урядовця. Вкладений ZIP-файл містив виконуваний файл на Python, зібраний за допомогою PyInstaller, який згодом класифікували як LameHug. Поєднання знайомих методів і новітніх технологій робить його особливо небезпечним.
«Ми очікуємо, що ШІ буде автоматизувати фішинг, вести переговори про викуп і розгортати локальні tiny-LLMs, які ніколи не виходять у хмару», – говорить Christian Have. «Захисникам доведеться виявляти “prompt packs” замість класичного шкідливого ПЗ, що означає слабші сигнали. Але використовуючи LLM, ми зможемо поєднувати ці сигнали й знаходити намір там, де окремі індикатори виглядають нешкідливими. Це допоможе бачити повну картину атаки ще в процесі її розвитку».
Нові стратегії потребують сучасних підходів до захисту. Щоб допомогти командам SOC протистояти цьому новому класу загроз, Logpoint випускає такі можливості:
- Запити на виявлення загроз на основі відомих індикаторів компрометації (IoC), а також тактик, технік та процедур (TTP)
- Логіка виявлення та джерела журналів для виявлення підозрілої активності API
- Методичні посібники SOAR для автоматизації стримування, розслідування та усунення наслідків
Джерело: Logpoint releases detection advisory for the AI-powered ‘LameHug’ malware
