Українські кіберфахівці фіксують нову хвилю атак на держустанови: від імені посадовців розсилають шкідливі файли, що викрадають документи. За спробами стоїть угруповання, пов’язане з російськими спецслужбами.

Про це йдеться у повідомленні Держспецзв’язку.

Зокрема зазначається, що національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA зафіксувала нові кібератаки на сектор безпеки та оборони.

Серед органів виконавчої влади, начебто від імені представника профільного міністерства, розповсюджувалися електронні листи із вкладенням у вигляді файлу «Додаток.pdf.zip».

Згаданий ZIP-архів містив одноіменний файл із розширенням «.pif», сконвертований за допомогою інструменту PyInstaller, розробленого на мові програмування Python, класифікованого CERT-UA як (шкідливий) програмний засіб LAMEHUG.

Особливістю програми LAMEHUG є застосування LLM (велика мовна модель – тип штучного інтелекту) для генерації команд на основі їхнього опису. Програма, потрапляючи в комп’ютер, передбачає збір базової інформації про нього, здійснює рекурсивний пошук документів та копіює їх.

З помірним рівнем впевненості активність асоціюють з діяльністю угруповання UAC-0001 (APT28), яке контролюється російськими спецслужбами.

Джерело

Друк / PDF