¡Ya disponible! Investigación de Telegram 2025 — los principales insights del año 
Fsecurity | HH
Ir al canal en Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
Mostrar más2 018
Suscriptores
-224 horas
+17 días
-1430 días
Archivo de publicaciones
2 018
Repost from Похек
[2/2] APT28 LAMEHUG: Первый AI-Powered Malware в дикой природе
4. Поведенческий анализ:
Необычные паттерны выполнения команд Автоматизированная генерация системных команд Массовый сбор системной информацииЗащитные меры Немедленные действия: 1. Блокировка известных IoC (IP, домены, хеши) 2. Мониторинг обращений к LLM API 3. Усиленный контроль email-вложений 4. Проверка директории %PROGRAMDATA%\info\ Долгосрочные меры:
# Блокировка LLM API (если не используются легитимно)
netsh advfirewall firewall add rule name="Block_LLM_APIs"
dir=out action=block remoteip=inference.huggingface.co
# Мониторинг подозрительных процессов
wevtutil qe Security /q:"*[System[EventID=4688] and
EventData[Data[@Name='NewProcessName'] and
(contains(.,'wmic') or contains(.,'systeminfo'))]]"rule LAMEHUG_AI_Malware {
meta:
description = "Detects LAMEHUG AI-powered malware"
author = "Security Research"
date = "2025-07-30"
strings:
$api1 = "inference.huggingface.co"
$api2 = "Qwen2.5-Coder"
$path = "%PROGRAMDATA%\\info\\info.txt"
$cmd1 = "systeminfo >>"
$cmd2 = "wmic computersystem"
condition:
2 of them
}2 018
Repost from Похек
[1/2] APT28 LAMEHUG: Первый AI-Powered Malware в дикой природе
Российская группировка APT28 (Forest Blizzard, UAC-0001) представила новую эру кибератак, разработав первый публично документированный malware с интегрированной большой языковой моделью. LAMEHUG открывает новую главу в истории вредоносного ПО.
Техническая архитектура
Основные компоненты:
- Язык разработки: Python
- Упаковка: PyInstaller (.pif файлы)
- LLM: Qwen 2.5-Coder-32B-Instruct
- API: Hugging Face Inference API
- Доставка: Фишинговые email с ZIP-архивами
Революционный подход:
LAMEHUG принимает текстовые инструкции на естественном языке и через LLM преобразует их в системные команды, которые выполняются на зараженной машине. Это позволяет автоматизировать сложные задачи разведки и кражи данных без предварительного программирования конкретных команд.
Механизм работы
Этап 1: Инфицирование
Appendix.pdf.zip → Appendix.pdf.pif → PyInstaller executableЭтап 2: AI-генерация команд Malware отправляет промпты к Qwen 2.5-Coder через Hugging Face API:
"Generate Windows commands to collect system information including hardware, processes, services, and network configuration"Этап 3: Выполнение сгенерированных команд LLM возвращает готовые команды, которые LAMEHUG выполняет через cmd.exe:
cmd.exe /c "mkdir %PROGRAMDATA%\info &&
systeminfo >> %PROGRAMDATA%\info\info.txt &&
wmic computersystem get name,manufacturer,model >> %PROGRAMDATA%\info\info.txt &&
wmic cpu get name,speed >> %PROGRAMDATA%\info\info.txt &&
wmic memorychip get capacity,speed >> %PROGRAMDATA%\info\info.txt &&
wmic diskdrive get model,size >> %PROGRAMDATA%\info\info.txt &&
wmic nic get name,macaddress,ipaddress >> %PROGRAMDATA%\info\info.txt &&
tasklist >> %PROGRAMDATA%\info\info.txt &&
net start >> %PROGRAMDATA%\info\info.txt &&
ipconfig /all >> %PROGRAMDATA%\info\info.txt &&
whoami /user >> %PROGRAMDATA%\info\info.txt &&
whoami /groups >> %PROGRAMDATA%\info\info.txt &&
net config workstation >> %PROGRAMDATA%\info\info.txt &&
dsquery user -samid %username% >> %PROGRAMDATA%\info\info.txt"%PROGRAMDATA%\info\info.txt - системная информация Appendix.pdf.pif - основной payload AI_generator_uncensored_Canvas_PRO_v0.9.exe - альтернативная версияСетевые индикаторы:
C2 серверы: 144.126.202.227, 192.36.27.37 Домены: boroda70@meta.ua, stayathomeclasses.com API: inference.huggingface.co (Qwen 2.5-Coder) User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:140.0) Gecko/20100101 Firefox/140.0Хеши файлов:
8013b23cb78407675f323d54b6b8dfb2a61fb40fb13309337f5b662dbd812a5d 766c356d6a4b00078a0293460c5967764fcd788da8c1cd1df708695f3a15b777 a30930dfb655aa39c571c163ada65ba4dec30600df3bf548cc48bedd0e841416 d6af1c9f5ce407e53ec73c8e7187ed804fb4f80cf8dbd6722fc69e15e135db2e bdb33bbb4ea11884b15f67e5c974136e6294aa87459cdc276ac2eea85b1deaa3 384e8f3d300205546fb8c9b9224011b3b3cb71adc994180ff55e1e6416f65715Методы обнаружения 1. Мониторинг файловой активности:
Sysmon Event ID 11: File creation in %PROGRAMDATA%\info\* Suspicious files in writable directories: AppData, ProgramData, Users\Public2. Обнаружение разведки:
Множественные команды reconnaissance в короткий период: whoami, systeminfo, wmic, ipconfig, net, tasklist3. Сетевой мониторинг:
Подключения к LLM API endpoints: - inference.huggingface.co - api.openai.com - generativelanguage.googleapis.com - api.anthropic.com
2 018
Repost from Caster
+1
Hop-by-Hop Headers (HBH) действительно могут использоваться для обхода фильтрации RA-пакетов.
В своей лабораторной сети я использовал маршрутизатор MikroTik с RouterOS
v7.15.3
В первой попытке, в 14:09:19, я отправил 16 ICMPv6 RA-пакетов для проведения MITM-атаки, и FW на это среагировал. Во второй попытке, в 14:13:39, я поместил в пакет HBH-заголовок с полезной нагрузкой, состоящей из простых слов на английском.
На такие rogue RA-пакеты FW перестал реагировать, и атакующему удалось провести инъекцию RA-пакета. Судя по всему, RouterOS не анализирует всю цепочку IPv6-заголовков и не доходит до ICMPv6, если он инкапсулирован после HBH.