Компанія ESET виявила нову активність білоруської групи кіберзлочинців FrostyNeighbor, націлену на українські державні установи. Відповідно до телеметрії ESET, зловмисники активно проводять кібероперації, спрямовані на Східну Європу, постійно оновлюючи набір інструментів, а також вдосконалюючи способи проникнення у систему та уникнення виявлення. Ціллю цих атак є шпигунство.
Згідно з даними досліджень ESET, із березня 2026 року ця злочинна група почала здійснювати фішингові атаки із використанням шкідливих посилань у PDF-файлах, що надсилаються у вигляді вкладень на пошту. У цих атаках використовується версія PicassoLoader на JavaScript для доставки основного компонента Cobalt Strike.
Отже спочатку зловмисники надсилають PDF-файл як приманку, маскуючись під телекомунікаційну компанію «Укртелеком». Також у файлі є повідомлення із закликом до дій, зокрема «Компанія гарантує надійний захист клієнтських даних», а під ним знаходиться кнопка завантаження з посиланням на документ, розміщений на сервері, контрольованому зловмисниками. Якщо отримувач використовує IP-адресу з України та натискає кнопку, сервер натомість надсилає йому шкідливий RAR-архів. У ньому знаходиться один з файлів JavaScript, який завантажує та відкриває інший PDF-документ для відволікання уваги. Одночасно архів запускає другий JavaScript-файл – завантажувач PicassoLoader.
Під час роботи PicassoLoader збирає дані, зокрема ім’я користувача та комп’ютера, версію ОС, час запуску, поточний час і список запущених процесів з їхніми ідентифікаторами (PID). Кожні 10 хвилин шкідлива програма надсилає ці дані на комадний сервер (C&C). Рішення про те, чи доставляти основний компонент, найімовірніше, приймається зловмисниками на основі зібраної інформації про жертву. Якщо ці дані становлять інтерес для FrostyNeighbor, C&C-сервер відповідає надсиланням JavaScript-дропера (тип шкідливої програми, призначеної для прихованого встановлення інших шкідливих ПЗ) для Cobalt Strike із інструментами для кібершпигунства.
«Постійно адаптуючись, FrostyNeighbor демонструє високий рівень операційних можливостей завдяки використанню різноманітних документів-приманок, вдосконалених варіантів завантажувачів та нових механізмів розсилки. Цей найновіший ланцюжок атак, який ми виявили, свідчить про наміри цієї зловмисної групи оновлювати та поповнювати свій арсенал інструментів, намагаючись уникнути виявлення для компрометації цілей», — зазначає Даміен Шеффер, дослідник ESET.
FrostyNeighbor, також відома як Ghostwriter, UNC1151, UAC 0057, TA445, PUSHCHA або Storm-0257, є групою зловмисників, яка діє з території Білорусі та веде активну діяльність щонайменше з 2016 року. Злочинці проводять більшість операцій із використанням цілеспрямованого фішингу, поширенням дезінформації та метою вплинути на свої цілі. За останній час вони атакували низку урядових та приватних організацій, фокусуючись на Україні, Польщі та Литві.
Хоча їхні атаки в Україні спрямовані переважно на військові структури, оборонну галузь та державні установи, у Польщі та Литві перелік цілей є ширшим і охоплює найрізноманітніші галузі, такі як промисловість та виробництво, охорона здоров’я та фармацевтика, логістика, а також численні державні організації.
