Команда CERT-UA, отвечающая за реагирование на киберинциденты, зафиксировала новые угрозы для сектора безопасности и обороны.

В государственных учреждениях появились электронные письма, якобы от представителей соответствующего министерства, с вложением в виде файла «Приложение.pdf.zip».

Этот ZIP-архив содержал файл с расширением «.pif», созданный с помощью PyInstaller, который CERT-UA классифицирует как вредоносное программное обеспечение LAMEHUG.

Примечательной особенностью LAMEHUG является использование больших языковых моделей (LLM) для генерации команд на основе описаний. Попав на компьютер, программа собирает базовую информацию и производит рекурсивный поиск документов для их копирования.

С умеренной степенью уверенности данная активность ассоциируется с группой UAC-0001 (APT28), находящейся под контролем российских спецслужб.