Национальная команда реагирования на киберинциденты CERT-UA зафиксировала новые угрозы в кибербезопасности, касающиеся оборонного сектора.

В органах исполнительной власти наблюдались электронные письма, которые якобы поступали от представителя соответствующего министерства, с вложением в виде файла «Приложение.pdf.zip».

Этот ZIP-архив содержал файл с расширением «.pif», созданный с использованием инструмента PyInstaller на языке программирования Python, и классифицированный CERT-UA как вредоносное ПО LAMEHUG.

Особенность LAMEHUG заключается в использовании LLM (большая языковая модель), которая генерирует команды на основе их описания. Когда программа попадает на компьютер, она собирает базовую информацию о нем, проводит рекурсивный поиск документов и копирует их.

С умеренной уверенностью эта активность связывается с группировкой UAC-0001 (APT28), которая контролируется российскими спецслужбами.