Национальная команда реагирования на киберинциденты CERT-UA зафиксировала новые кибератаки на сектор безопасности и обороны.

Известно, что среди государственных органов распространялись электронные письма, которые выглядели так, будто они отправлены от имени представителя соответствующего министерства, с приложением под названием «Приложение.pdf.zip».

Этот ZIP-архив содержал файл с расширением «.pif», созданный с помощью инструмента PyInstaller, разработанного на языке Python, и классифицированный CERT-UA как вредоносное ПО LAMEHUG.

Уникальной особенностью LAMEHUG является использование больших языковых моделей (LLM) для генерации команд на основе их описания. Попадая в компьютер, программа собирает базовую информацию о нем, проводит рекурсивный поиск документов и копирует их.

С умеренной уверенностью эту активность связывают с группировкой UAC-0001 (APT28), которая контролируется российскими спецслужбами.