Malware (malicious software) — собирательный термин для любого вредоносного программного обеспечения: вирусов, троянов, шпионских программ и других.
Классическое вредоносное ПО (malware) — это статика. Код написан, скомпилирован и развёрнут. Антивирусы десятилетиями опирались на сигнатуры и известные паттерны поведения. ИИ усложняет эту задачу.
Что изменил ИИ:
В отдельных атаках вредоносный код начинает заменять часть заранее зашитой логики запросами к LLM. Вместо готовых команд — описание цели. Модель получает задачу и генерирует нужные действия под конкретную систему.
Механизм изнутри:
📌 Статические промпты — malware содержит base64-закодированные текстовые описания целей, а не готовые команды
📌 LLM в рантайме — при запуске обращается к облачной модели и получает инструкции под конкретную среду
📌 Меньше зависимости от сигнатур — часть логики формируется уже после запуска программы, что снижает эффективность классического сигнатурного анализа
📌 Адаптация без обновлений — оператор меняет задачу через промпт, не перекомпилируя код
Кейс:
Июль 2025. CERT-UA фиксирует LameHug — один из первых публично задокументированных случаев использования LLM внутри реальной вредоносной кампании. Атрибуция: APT28 (Fancy Bear, российская военная разведка). Цель: исполнительные органы власти Украины.
LameHug обращался к Qwen2.5-Coder-32B-Instruct через API Hugging Face. Часть команд генерировалась в реальном времени через обращение к LLM, а не была жёстко зашита в коде заранее.
Раньше вредоносное ПО содержало инструкцию. Теперь оно всё чаще содержит запрос на её создание.
Источники:
The Hacker News
Cato Networks
Следующий пост завтра — #4 Ransomware — шифрование и вымогательство
#кибербез #ИИ #malware #AnatomyOfAttack
Leave a Comment