Компания ESET – лидер в области информационной безопасности – обнаружила новую активность белорусской группы киберпреступников FrostyNeighbor, направленную на украинские государственные учреждения. Согласно данным телеметрии ESET, злоумышленники активно проводят кибероперации, направленные на Восточную Европу, постоянно обновляя набор инструментов, а также совершенствуя способы проникновения в систему и избежания обнаружения. Целью этих атак является шпионаж.
С марта 2026 года эта преступная группа начала осуществлять фишинговые атаки с использованием вредоносных ссылок в PDF-файлах, отправляемых в виде вложений по электронной почте. В этих атаках используется версия PicassoLoader на JavaScript для доставки основного компонента Cobalt Strike.
Для начала злоумышленники отправляют PDF-файл в качестве приманки, маскируюсь под телекоммуникационную компанию "Укртелеком". Также в файле есть сообщение с призывом к действию, в частности "Компания гарантирует надежную защиту клиентских данных", а под ним находится кнопка загрузки со ссылкой на документ, размещенный на сервере, контролируемом злоумышленниками. Если получатель использует IP-адрес из Украины и нажимает кнопку, сервер отправляет ему вредоносный RAR-архив. В нем находится один из файлов JavaScript, который загружает и открывает другой PDF-документ для отвлечения внимания. Одновременно архив запускает второй JavaScript-файл – загрузчик PicassoLoader.
Во время работы PicassoLoader собирает данные, в частности имя пользователя и компьютера, версию ОС, время запуска, текущее время и список запущенных процессов с их идентификаторами (PID). Каждые 10 минут вредоносная программа отправляет эти данные на командный сервер (C&C). Решение о том, доставлять ли основной компонент, скорее всего, принимается злоумышленниками лично на основе собранной информации о жертве. Если эти данные представляют интерес для FrostyNeighbor, C&C-сервер отвечает отправкой JavaScript-дропера (тип вредоносной программы, предназначенной для скрытой установки другого вредоносного ПО) для Cobalt Strike с инструментами для кибершпионажа.
"Постоянно адаптируясь, FrostyNeighbor демонстрирует высокий уровень операционных возможностей благодаря использованию разнообразных документов-приманок, усовершенствованных вариантов загрузчиков и новых механизмов рассылки. Эта новейшая цепочка атак, которую мы обнаружили, свидетельствует о намерениях группы обновлять и пополнять свой арсенал инструментов, пытаясь избежать обнаружения для компрометации целей", – отмечает Дамиен Шеффер, исследователь ESET.
FrostyNeighbor, также известная как Ghostwriter, UNC1151, UAC 0057, TA445, PUSHCHA или Storm-0257, является группой злоумышленников, которая действует с территории Беларуси и ведет активную деятельность как минимум с 2016 года. Преступники проводят большинство операций с использованием целенаправленного фишинга, распространением дезинформации и с целью оказать влияние на своих жертв. В последнее время они атаковали ряд правительственных и частных организаций, фокусируясь на Украине, Польше и Литве.
Хотя их атаки в Украине направлены преимущественно на военные структуры, оборонную отрасль и государственные учреждения, в Польше и Литве перечень целей гораздо шире и охватывает разные сферы, такие как промышленность и производство, здравоохранение и фармацевтика, логистика, а также многочисленные государственные организации.