Fsecurity | HH

🔗Ссылка: https://opennet.ru/63688/

🔗Ссылка: https://opennet.ru/63687/

🔗Ссылка: https://habr.com/ru/articles/933958/

🔗Ссылка: https://www.securitylab.ru/news/562058.php

🔗Ссылка: https://www.securitylab.ru/news/562006.php

🔗Ссылка: https://opennet.ru/63677/

🔗Ссылка: https://habr.com/ru/articles/933642/

🔗Ссылка: https://habr.com/ru/companies/globalsign/articles/933646/

🔗Ссылка: https://habr.com/ru/articles/933676/

🔗Ссылка: https://habr.com/ru/companies/F6/articles/928688/

🔗Ссылки: https://habr.com/ru/companies/tomhunter/articles/930362/

🔗Ссылка: https://habr.com/ru/articles/930526/

[2/2] APT28 LAMEHUG: Первый AI-Powered Malware в дикой природе 4. Поведенческий анализ:

Необычные паттерны выполнения команд
Автоматизированная генерация системных команд
Массовый сбор системной информации

Защитные меры Немедленные действия: 1. Блокировка известных IoC (IP, домены, хеши) 2. Мониторинг обращений к LLM API 3. Усиленный контроль email-вложений 4. Проверка директории %PROGRAMDATA%\info\ Долгосрочные меры:

# Блокировка LLM API (если не используются легитимно)
netsh advfirewall firewall add rule name="Block_LLM_APIs" 
dir=out action=block remoteip=inference.huggingface.co

# Мониторинг подозрительных процессов
wevtutil qe Security /q:"*[System[EventID=4688] and 
EventData[Data[@Name='NewProcessName'] and 
(contains(.,'wmic') or contains(.,'systeminfo'))]]"

Правила YARA для обнаружения:

rule LAMEHUG_AI_Malware {
    meta:
        description = "Detects LAMEHUG AI-powered malware"
        author = "Security Research"
        date = "2025-07-30"
    
    strings:
        $api1 = "inference.huggingface.co"
        $api2 = "Qwen2.5-Coder"
        $path = "%PROGRAMDATA%\\info\\info.txt"
        $cmd1 = "systeminfo >>"
        $cmd2 = "wmic computersystem"
        
    condition:
        2 of them
}

Значение для индустрии Новая эра угроз: LAMEHUG представляет фундаментальный сдвиг в разработке malware. Использование LLM для динамической генерации команд делает malware более адаптивным и сложным для обнаружения. Ключевые риски: - Автоматизация сложных атак без экспертизы - Обход статических сигнатур через динамическую генерацию - Снижение барьера входа для киберпреступников - Масштабирование персонализированных атак Эволюция защиты: Традиционные методы обнаружения, основанные на статических сигнатурах, становятся менее эффективными. Необходим переход к поведенческому анализу и мониторингу AI-активности. Прогнозы развития Ближайшее будущее: - Интеграция более мощных LLM (GPT-4, Claude) - Локальные LLM для избежания сетевых индикаторов - AI-генерация полиморфного кода - Автоматизированная социальная инженерия Защитные технологии: - AI-powered detection systems - Behavioral analysis of AI usage - LLM API monitoring and filtering - Adversarial AI techniques Практические рекомендации Для SOC-команд: 1. Внедрить мониторинг LLM API трафика 2. Усилить анализ email-вложений с PyInstaller 3. Разработать playbook для AI-powered threats Для организаций: 1. Обучение персонала новым типам угроз 2. Обновление политик использования AI 3. Контроль доступа к LLM API 4. Регулярный аудит AI-активности в сети Выводы LAMEHUG знаменует начало новой эры в кибербезопасности. APT28 продемонстрировала, как AI может быть weaponized для создания более изощренных и адаптивных угроз. Критические моменты: - Первый случай боевого применения LLM в malware - Динамическая генерация команд через AI - Снижение технических барьеров для атакующих - Необходимость пересмотра подходов к защите Индустрия должна готовиться к волне AI-powered угроз. Время адаптации защитных стратегий - сейчас. ✍️ Источник 🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK

[1/2] APT28 LAMEHUG: Первый AI-Powered Malware в дикой природе Российская группировка APT28 (Forest Blizzard, UAC-0001) представила новую эру кибератак, разработав первый публично документированный malware с интегрированной большой языковой моделью. LAMEHUG открывает новую главу в истории вредоносного ПО. Техническая архитектура Основные компоненты: - Язык разработки: Python - Упаковка: PyInstaller (.pif файлы) - LLM: Qwen 2.5-Coder-32B-Instruct - API: Hugging Face Inference API - Доставка: Фишинговые email с ZIP-архивами Революционный подход: LAMEHUG принимает текстовые инструкции на естественном языке и через LLM преобразует их в системные команды, которые выполняются на зараженной машине. Это позволяет автоматизировать сложные задачи разведки и кражи данных без предварительного программирования конкретных команд. Механизм работы Этап 1: Инфицирование

Appendix.pdf.zip → Appendix.pdf.pif → PyInstaller executable

Этап 2: AI-генерация команд Malware отправляет промпты к Qwen 2.5-Coder через Hugging Face API:

"Generate Windows commands to collect system information including hardware, processes, services, and network configuration"

Этап 3: Выполнение сгенерированных команд LLM возвращает готовые команды, которые LAMEHUG выполняет через cmd.exe:

cmd.exe /c "mkdir %PROGRAMDATA%\info && 
systeminfo >> %PROGRAMDATA%\info\info.txt && 
wmic computersystem get name,manufacturer,model >> %PROGRAMDATA%\info\info.txt && 
wmic cpu get name,speed >> %PROGRAMDATA%\info\info.txt && 
wmic memorychip get capacity,speed >> %PROGRAMDATA%\info\info.txt && 
wmic diskdrive get model,size >> %PROGRAMDATA%\info\info.txt && 
wmic nic get name,macaddress,ipaddress >> %PROGRAMDATA%\info\info.txt && 
tasklist >> %PROGRAMDATA%\info\info.txt && 
net start >> %PROGRAMDATA%\info\info.txt && 
ipconfig /all >> %PROGRAMDATA%\info\info.txt && 
whoami /user >> %PROGRAMDATA%\info\info.txt && 
whoami /groups >> %PROGRAMDATA%\info\info.txt && 
net config workstation >> %PROGRAMDATA%\info\info.txt && 
dsquery user -samid %username% >> %PROGRAMDATA%\info\info.txt"

Этап 4: Сбор и эксфильтрация данных - Рекурсивный поиск в Documents, Desktop, Downloads - Стейджинг файлов для эксфильтрации - Передача данных через SFTP или HTTP POST Варианты malware Обнаружены три версии: 1. Основная версия (Appendix.pdf.pif) - Базовая функциональность AI-генерации команд - Сбор системной информации - Эксфильтрация через SFTP 2. AI_generator_uncensored_Canvas_PRO_v0.9.exe - Расширенные возможности генерации - Альтернативные методы эксфильтрации - Обход цензуры LLM 3. image.py - Python-скрипт версия - Модифицированная логика эксфильтрации - Возможно, тестовая версия Технические индикаторы Файловые артефакты:

%PROGRAMDATA%\info\info.txt - системная информация
Appendix.pdf.pif - основной payload
AI_generator_uncensored_Canvas_PRO_v0.9.exe - альтернативная версия

Сетевые индикаторы:

C2 серверы: 144.126.202.227, 192.36.27.37
Домены: boroda70@meta.ua, stayathomeclasses.com
API: inference.huggingface.co (Qwen 2.5-Coder)
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:140.0) Gecko/20100101 Firefox/140.0

Хеши файлов:

8013b23cb78407675f323d54b6b8dfb2a61fb40fb13309337f5b662dbd812a5d
766c356d6a4b00078a0293460c5967764fcd788da8c1cd1df708695f3a15b777
a30930dfb655aa39c571c163ada65ba4dec30600df3bf548cc48bedd0e841416
d6af1c9f5ce407e53ec73c8e7187ed804fb4f80cf8dbd6722fc69e15e135db2e
bdb33bbb4ea11884b15f67e5c974136e6294aa87459cdc276ac2eea85b1deaa3
384e8f3d300205546fb8c9b9224011b3b3cb71adc994180ff55e1e6416f65715

Методы обнаружения 1. Мониторинг файловой активности:

Sysmon Event ID 11: File creation in %PROGRAMDATA%\info\*
Suspicious files in writable directories: AppData, ProgramData, Users\Public

2. Обнаружение разведки:

Множественные команды reconnaissance в короткий период:
whoami, systeminfo, wmic, ipconfig, net, tasklist

3. Сетевой мониторинг:

Подключения к LLM API endpoints:
- inference.huggingface.co
- api.openai.com
- generativelanguage.googleapis.com
- api.anthropic.com

🔗Ссылка: https://opennet.ru/63673/

🔗Ссылка: https://opennet.ru/63675/

Hop-by-Hop Headers (HBH) действительно могут использоваться для обхода фильтрации RA-пакетов. В своей лабораторной сети я использовал маршрутизатор MikroTik с RouterOS v7.15.3 В первой попытке, в 14:09:19, я отправил 16 ICMPv6 RA-пакетов для проведения MITM-атаки, и FW на это среагировал. Во второй попытке, в 14:13:39, я поместил в пакет HBH-заголовок с полезной нагрузкой, состоящей из простых слов на английском. На такие rogue RA-пакеты FW перестал реагировать, и атакующему удалось провести инъекцию RA-пакета. Судя по всему, RouterOS не анализирует всю цепочку IPv6-заголовков и не доходит до ICMPv6, если он инкапсулирован после HBH.

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://habr.com/ru/companies/hostkey/articles/932922/

🔗Ссылка: https://habr.com/ru/articles/931808/