AI搭載の大規模言語モデル(LLM)を活用して、侵害されたWindowsシステム上で実行するコマンドを生成する新たなマルウェアが、ウクライナ当局によって確認されました。
ウクライナ国家コンピュータ緊急対応チーム(CERT-UA)は、このマルウェアを「LameHug」と名付け、同国の安全保障・防衛分野を標的とした新たなサイバー攻撃で発見しました。
これらの攻撃は、ロシアの特殊機関が管理しているとされるATP28ハッキンググループに、中程度の確度で関連付けられています。
7月17日に公開されたアップデートで、CERT-UAは「Додаток.pdf.zip」(Attachment.pdf.zip)という名前の添付ファイルを含むメールが、関係省庁の代表者を装って行政機関に送信されたと述べています。
このZIPアーカイブには、同様の名前で.pif拡張子のファイルが含まれていました。このファイルは、PythonベースのPyInstallerツールを使って変換されており、CERT-UAによって悪意のあるソフトウェア「LameHug」と分類されています。
LameHugマルウェアはオープンソースLLMを活用
このマルウェアはPythonで開発されており、AlibabaのオープンソースLLM「Qwen2.5-Coder-32B-Instruct」とやり取りするためにHugging Face APIを利用しています。
IBM X-Force OSINTアドバイザリは、LLMを使って実行コマンドを生成する手法が独自であると指摘しています。
「この革新的な手法により、攻撃者は新たなペイロードを必要とせず、侵害中に戦術を適応させることができるため、マルウェアがセキュリティソフトウェアや静的解析ツールによる検出を回避しやすくなる可能性があります」と、X-Force OSINTアドバイザリは述べています。
CERT-UAの専門家によると、侵害されたメールアカウントが悪意のあるソフトウェアを含むメールの配布に利用されていたとのことです。
ウクライナに対する長年のサイバー脅威
APT28は、ロシア軍参謀本部情報総局(GRU)と関連付けられているグループで、「Fancy Bear」「Sednit」「Pawn Storm」「Forest Blizzard」「Sofacy Group」としても知られています。少なくとも2004年から活動しています。
同グループは長年にわたりウクライナを標的としたサイバー攻撃を行っています。2023年には、CERT-USが、同グループがウクライナの重要な電力インフラ施設に対するサイバー攻撃を試みたと発表しました。
ウクライナに対するAPT28の活動について詳しくはこちら:ロシア支援のAPT28がウクライナの重要電力施設を攻撃しようとした
2025年には、APT28がMDaemon Email Server(CVE-2024-11182)のゼロデイ脆弱性を利用し、ウクライナ企業に対して攻撃を成功させたことが研究で明らかになりました。
同グループはまた、ロシア連邦との戦争でウクライナを支援する組織も標的にしていることが知られています。
5月には、過去2年間にわたりウクライナへの支援物資を届けていた西側の物流・技術企業が、APT28によるサイバースパイ活動の標的になっていたと報じられました。
翻訳元: https://www.infosecurity-magazine.com/news/new-lamehug-malware-deploys/