随着网络攻击技术的不断演进,传统的防御手段已经难以应对越来越复杂的威胁。乌克兰计算机应急响应小组CERT-UA最新披露了一起引人关注的恶意软件案例——LAMEHUG,该恶意软件不仅展现出高度的智能化,还巧妙地利用大型语言模型(LLM)技术来执行钓鱼攻击,推动了网络犯罪手法进入了一个全新的阶段。LAMEHUG被归属于俄国国家级黑客组织APT28,也被称为Fancy Bear等多个代号,长期以来以针对政府、高级执法机构及关键基础设施实施精密网络攻击闻名。此次发现的LAMEHUG则显现出该组织在人工智能领域的最新尝试。钓鱼攻击仍是网络犯罪最广泛采用的手段之一,其通过伪装成可信邮件欺骗受害者,从而达到植入恶意软件、窃取敏感资料甚至完全控制受害计算机的目的。LAMEHUG的独特之处在于它运用了大型语言模型,这种技术通常应用于自然语言处理和自动化代码生成,但在此却被用来动态生成执行命令。
CERT-UA报告指出,LAMEHUG基于阿里云开发的Qwen2.5-Coder-32B-Instruct模型,该模型专为代码生成、推理和修复任务优化,这意味着攻击者能够根据事先设定的文本描述,从模型中获得具体的代码命令,进而自动化完成信息收集和数据窃取操作。这种结合了人工智能技术的恶意软件显著提升了攻击的智能化水平和灵活性,使其能够绕过传统基于规则的检测手段。通过利用Hugging Face平台的服务接口,LAMEHUG可以调用云端的语言模型生成并执行相应代码,实现对受害系统的深入渗透。基于Python的开发架构也令其在多平台上的适应性和扩展性更强。钓鱼邮件通常包含恶意ZIP附件,内部携带不同形式的载荷,如pif、exe和py格式的文件,以增强攻击的多样性和成功率。邮件内容假扮成政府部门内部高层发出,目标直指行政机关,进一步体现出APT28对乌克兰政府机构的关注和针对性。
这种新型AI驱动的攻击策略极大地增加了识别难度。该恶意软件主要执行的任务包括收集目标设备的基础信息以及递归查找储存在“文档”、“下载”和“桌面”等用户目录下的TXT和PDF文件,随后将搜集到的数据通过安全文件传输协议或HTTP POST请求发送至攻击者控制的服务器。这些信息极有可能用于后续的网络间谍活动或更大规模的攻击行动。值得注意的是,CERT-UA尚未确认这类利用LLM的攻击策略在实际中的广泛成功率,这也说明APT28可能处于测试和研发阶段,借助乌克兰作为其“试验场”来完善这类高端技术。与此同时,APT28以往被发现使用名为Authentic Antics的恶意软件,该程序能够隐秘捕获用户凭据和OAuth 2.0令牌,持续控制目标微软邮箱账户,体现出该组织持续在账户劫持和持久渗透技术上的创新。NCSC对此表示,该恶意软件通过显示虚假登录窗口骗取登录凭据,同时通过API操作绕过“发送邮件”记录,极具隐蔽性和欺骗性。
除了LAMEHUG和Authentic Antics,安全界还关注到了其他使用AI技术反制安全检测的恶意软件,例如Check Point发现的Skynet。这款恶意软件嵌入了针对大型语言模型的“提示注入”攻击,试图误导分析AI得出“无恶意代码”的判断,尽管这一尝试未获成功,却预示了未来AI与网络安全对抗的新趋势。人工智能技术在带来便捷和高效的同时,同样被恶意分子用作武器,未来安全解决方案必须不断升级以应付这种新的威胁格局。Cato Networks的后续分析进一步揭示,APT28在LAMEHUG攻击中使用了大量的Hugging Face认证令牌,显示出该家族恶意软件的不断演进和多样化。攻击命令的生成采用预定义的、经过Base64编码的文本描述模式,LLM则按照这些描述返回可执行命令序列,这一操作机制相较于传统静态脚本和硬编码命令,展现出极强的灵活性和可定制性。研究人员指出,LAMEHUG现阶段缺少复杂的反沙箱逃避技术,且源码中的LLM集成方式较为基础,多样版本的存在也表明该恶意软件仍处于研发和测试阶段,而不是全面展开的实战攻击。
这反映APT28将乌克兰视作试验平台,以不断试验新兴的AI赋能攻击手法。这一发现对全球网络安全界提出警示:随着生成式AI模型的普及与易获取,各类网络攻击者正在利用AI技术提升攻击效率和隐蔽性,安全防御体系必须同步引入AI驱动的防御技术,以实现更为智能的威胁识别和响应。对于政府、企业以及个人用户而言,强化意识培训、建设多层次防护体系、加强对云端AI服务调用的监控,都是应对新型AI助力攻击的重要手段。作为一种“武器化”的人工智能应用案例,LAMEHUG不仅代表了未来网络攻击的发展方向,也加速了网络安全领域工具和理念的升级换代。此事件提示全行业需要高度关注并及早布局AI安全策略,防止智能化攻击带来更广泛的破坏和信息泄露。通过此次发现,我们看到网络攻防战线已从传统沙箱检测与签名识别,进入了基于人工智能的新型博弈,未来对抗必将更加复杂和苛刻。
整体来看,CERT-UA的这一披露为全球网络安全领域敲响了警钟,充分体现出网络威胁正在向高智能、深度伪装以及多平台融合发展,涉及国家安全、企业机密及个人隐私的风险日益加剧。面对APT28及其类病毒威胁,相关各方必须加强国际合作,推进技术革新和威胁情报共享,同时提升全社会的网络安全防范意识,以维护数字世界的安全与稳定。
