Les attaques récentes du groupe de cyberespionnage géré par l’État contre les cibles du gouvernement ukrainien comprenaient des logiciels malveillants capables d’interroger les LLM pour générer des commandes de Shell Windows dans le cadre de sa chaîne d’attaque.
Le groupe de cyberespionnage russe APT28 a développé des logiciels malveillants qui génèrent des commandes en interrogeant les modèles de grande langue (LLM). Le logiciel malveillant, surnommé Lamehug par le certificat ukrainien, a été utilisé dans les récentes attaques de phishing contre les entités gouvernementales ukrainiennes et représente un nouvel exemple de la façon dont les attaquants utilisent l’IA dans leurs attaques.
Les e-mails de phishing ont été envoyés à partir d’un compte de messagerie compromis et ont été usurpés par l’identité d’un représentant d’un ministère ukrainien, selon le rapport du CERT-UA. Le malware était contenu dans une archive zip et avait un .pif Extension (exécutable MS-DOS), bien que les variantes .exe et .py Des extensions ont également été observées.
CERT-UA attribue ces attaques à un groupe qu’il suit en tant que UAC-0001, mais qui est mieux connu dans la communauté de la sécurité sous le nom d’APT28. Les agences de renseignement occidentales ont officiellement associé ce groupe à l’unité 26165, ou au 85e principal centre de services spéciaux (GTSSS) du GRU, Service de renseignement militaire de la Russie.
APT28, également connu sous le nom de Sofacy, Pawn Storm ou Fancy Bear, a été engagé dans des cyber-opérations contre des cibles dans les pays occidentaux dès 2004, mais a également été très actif en Ukraine, avant même l’invasion de la Russie en février 2022.
L’année dernière, le MJ a inculpé cinq officiers du GRU et un présumé collaborateur civil pour les cyberattaques destructeurs contre les infrastructures informatiques ukrainiennes, ainsi que pour sonder les systèmes informatiques gouvernementaux appartenant à 26 pays membres de l’OTAN, y compris les États-Unis. Compte tenu de la portée mondiale des opérations d’APT28, ce n’est peut-être qu’une question de temps jusqu’à ce que le nouveau logiciel malveillant Lamehug soit également utilisé contre les cibles occidentales.
Interroger les API LLM en temps réel
À ce jour, les attaquants ont été observés à l’aide de LLMS pour écrire des scripts malveillants ou de meilleurs e-mails de phishing. Il existe également une variété de services d’abonnement LLM non censurés et jailbreakés vendus sur des forums de cybercriminalité.
Mais les créateurs de Lamehug ont adopté une approche différente en renforçant la possibilité d’interroger les LLM directement dans le programme de logiciels malveillants lui-même. Pour ce faire, Lamehug exploite les API de Hugging Face, la plus grande plate-forme du Web pour l’hébergement de LLMS et d’autres actifs d’IA.
Lamehug comprend une requête intégrée au modèle Qwen 2.5-coder-32b-instruct via un visage étreint, par lequel il demande au modèle de se comporter comme un administrateur du système Windows et de générer une liste de commandes pour créer un dossier et recueillir des informations sur l’ordinateur, le réseau et le domaine Active Directory, puis de mettre les résultats dans un fichier de texte.
Une requête séparée demande au modèle de créer une liste de commandes qui copieront de manière récursive tout .pdf et .txt Documents des documents, téléchargements et dossiers de bureau vers le répertoire de mise en scène nouvellement créé sous C:Programdatainfo.
Lamehug est écrit en python et a été compilé avec un binaire exécutable à partir du code source avec Pyinstaller. Certi-ua l’a vu distribué comme Appendix.pif, AI_generator_uncensored_Canvas_PRO_v0.9.exe, AI_image_generator_v0.95.exeet image.pychaque variante ayant des différences fonctionnelles dans la façon dont elle exfiltre les données des ordinateurs infectés. Le serveur de commande et de contrôle des logiciels malveillants a été hébergé sur une infrastructure légitime mais compromise.
Tout comme les LLM deviennent un outil et des ressources communs pour les organisations et les employés, ils sont également utiles pour les attaquants; Lamehug n’est qu’un exemple récent. Les chercheurs ont récemment testé les capacités des LLM à effectuer des tâches de développement de vulnérabilité et d’exploiter et les ont trouvés bogués et principalement inefficaces. Mais les chercheurs ont observé une amélioration rapide sur plusieurs mois. Au fil du temps, nous verrons probablement plus d’attaques assistées par l’IA, et même un piratage avancé, tout comme nous avons vu la programmation assistée par AI.
En utilisant les LLM pour introduire la variété dans les commandes exécutées à la volée, les attaquants pourraient espérer éviter les signatures de détection en introduisant un niveau de polymorphisme à cet aspect de sa chaîne d’attaque.
