AIID編集者注:CERT-UAが提供する追加の技術データについては、本レポートの原文をご覧ください。
一般情報
2025年7月10日、国家サイバーインシデント・サイバー攻撃・サイバー脅威対応チーム(CERT-UA)は、関係省庁の代表者を名乗って「Appendix.pdf.zip」というファイルが添付されたメールが、行政機関に配布されたという情報を受け取りました。
上記のZIPアーカイブには、CERT-UAが(悪意のある)ソフトウェアツールLAMEHUGに分類しているPythonプログラミング言語で開発されたソースコードからPyInstallerを�使用して変換された、拡張子「.pif」を持つ同名の実行ファイルが含まれていました。
インシデントの調査中、前述のソフトウェアツールの少なくとも2つの亜種が、「AI_generator_uncensored_Canvas_PRO_v0.9.exe」および「image.py」というファイル形式で発見されました。これらの亜種は、コンピュータからデータを抜き出す方法に機能的な違いがあります。
メールの配信には侵害されたメールアカウントが使用され、管理インフラは正規のリソースではあるものの侵害されたリソース上に展開されていた点に留意する必要があります。
LAMEHUGの明らかな特徴は、LLM(大規模言語モデル)を使用していることです。LLMは、テキスト表現(説明)に基づいてコマンドを生成します。
この活動は、UAC-0001(APT28)の活動と中程度の信頼性で関連しています。
LAMEHUGは、Pythonプログラミング言語を使用して開発されたプログラムです。huggingface[.]coサービスのAPIを介してLLM Qwen 2.5-Coder-32B-Instructを使用し、静的に入力されたテキスト(説明)に基づいてコマンドを生成し、コンピュータ上で実行します。具体的には、コンピュータに関する基本情報(ハードウェア、プロセス、サービス、ネットワーク接続)を収集し、「%PROGRAMDATA%\info\info.txt」ファイルに保存するほか、「Documents」、「Downloads」、「Desktop」ディレクトリ内のMicrosoft Officeドキュメント(TXT、PDFを含む)を再帰的に検索し、「%PROGRAMDATA%\info\」フォルダにコピーします。受信した情報およびファイル(プログラムの異なるバージョン)の抽出は、SFTPまたはHTTP POSTリクエストを使用して実行できます。