俄罗斯APT28新型恶意软件利用LLM生成恶意Windows命令

俄罗斯网络间谍组织APT28开发了一种通过查询大型语言模型（LLM）生成命令的恶意软件。该恶意软件被乌克兰CERT命名为LAMEHUG，在最近针对乌克兰政府实体的鱼叉式网络钓鱼攻击中使用，代表了攻击者如何在攻击中利用AI的新示例。

根据CERT-UA的报告，网络钓鱼电子邮件是从一个被入侵的电子邮件帐户发送的，并冒充了乌克兰某部的代表。恶意软件包含在一个ZIP存档中，具有.pif（MS-DOS可执行文件）扩展名，但也观察到具有.exe和.py扩展名的变体。

CERT-UA将这些攻击归因于其跟踪为UAC-0001的组织，但该组织在安全社区中更广为人知的名称为APT28。西方情报机构已正式将该组织与俄罗斯军事情报机构GRU的第26165单位或第85主要特殊服务中心（GTsSS）联系起来。

APT28，也称为Sofacy、Pawn Storm或Fancy Bear，自2004年以来一直从事针对西方国家的网络行动，但在乌克兰也非常活跃，甚至在俄罗斯2022年2月入侵之前就是如此。

去年，美国司法部对五名GRU官员和一名涉嫌平民合作者提起诉讼，指控他们对乌克兰计算机基础设施进行破坏性网络攻击，并探测属于26个北约成员国（包括美国）的政府计算机系统。鉴于APT28行动的全球范围，新的LAMEHUG恶意软件可能只是时间问题，也会被用于针对西方目标。

实时查询LLM API

迄今为止，攻击者已被观察到使用LLM编写恶意脚本或更好的网络钓鱼电子邮件。网络犯罪论坛上还出售各种未经审查和越狱的LLM订阅服务。

但LAMEHUG的创建者采取了不同的方法，将直接查询LLM的能力构建到恶意软件程序本身中。为此，LAMEHUG利用了Hugging Face的API，这是网络上托管LLM和其他AI资产的最大平台。

LAMEHUG包含通过Hugging Face对Qwen 2.5-Coder-32B-Instruct模型的内置查询，通过该查询，它指示模型充当Windows系统管理员，并生成一系列命令来创建一个文件夹，并在其中收集有关计算机、网络和Active Directory域的信息，然后将结果放入文本文件中。

另一个单独的查询指示模型创建一系列命令，这些命令将递归复制Documents、Downloads和Desktop文件夹中的所有.pdf和.txt文档到新创建的C:\Programdata\info\下的暂存目录中。

LAMEHUG是用Python编写的，并使用PyInstaller从源代码编译为可执行二进制文件。CERT-UA看到它以Appendix.pif、AI_generator_uncensored_Canvas_PRO_v0.9.exe、AI_image_generator_v0.95.exe和image.py的形式分发，每个变体在如何从受感染计算机中窃取数据方面具有功能差异。该恶意软件的命令与控制服务器托管在合法但被入侵的基础设施上。

就像LLM正在成为组织和员工的常见工具和资源一样，它们对攻击者也很有用；LAMEHUG只是最近的一个例子。研究人员最近测试了LLM执行漏洞和漏洞利用开发任务的能力，发现它们存在错误且大多无效。但研究人员确实观察到在几个月内快速改进。随着时间的推移，我们可能会看到更多AI辅助的攻击，甚至是高级黑客攻击，就像我们看到AI辅助编程的兴起一样。

通过使用LLM在运行时引入执行的命令的多样性，攻击者可能希望通过在其攻击链的这一方面引入一定程度的多样性来避免检测签名。