乌克兰国家网络事件响应团队(CERT-UA)发现了一种名为LameHug的新型恶意软件家族,该软件利用大型语言模型(LLM)在受感染的Windows系统上生成并执行命令。来源。该恶意软件被归因于俄罗斯国家支持的威胁组织APT28。LameHug使用Python编写,并借助Hugging Face API与Qwen 2.5-Coder-32B-Instruct LLM进行交互,该模型由阿里巴巴云创建,专门用于生成代码和编码指令。
CERT-UA在7月10日接到报告,称有恶意邮件从被入侵的账户发送,并冒充政府官员,试图将恶意软件分发给政府高层。邮件中附有一个ZIP附件,包含LameHub加载器,已发现至少三种变体:‘Attachment.pif’,‘AI_generator_uncensored_Canvas_PRO_v0.9.exe’,和‘image.py’。
LameHug通过动态生成的命令进行系统侦察和数据窃取,这些命令帮助该恶意软件收集系统信息并保存至info.txt文件,递归搜索Windows关键目录中的文档,并使用SFTP或HTTP POST请求提取数据。来源。