Звязаная з Беларуссю хакерская групоўка FrostyNeighbor, вядомая таксама пад назвамі Ghostwriter і UNC1151, з сакавіка 2026 года праводзіць новую кібершпіёнскую кампанію супраць дзяржаўных устаноў Украіны. Пра гэта гаворыцца ў новым даследаванні кампаніі ESET.
Паводле ацэнкі спецыялістаў, група дзейнічае як мінімум з 2016 года і застаецца адной з найбольш актыўных кібершпіёнскіх структур ва Усходняй Еўропе. Асноўнымі мэтамі FrostyNeighbor з’яўляюцца дзяржаўныя ўстановы, вайсковыя структуры і стратэгічна важныя галіны. На працягу многіх гадоў атакі былі засяроджаныя на Украіне, Польшчы і Літве.
У новай кампаніі зламыснікі выкарыстоўваюць фішынгавыя лісты з PDF-файламі. Адзін з выяўленых дакументаў маскіраваўся пад паведамленне ўкраінскага аператара сувязі «Укртэлекам». У файле змяшчалася спасылка на нібыта афіцыйны дакумент. Аднак далейшае развіццё атакі залежала ад таго, дзе знаходзіцца патэнцыйная ахвяра.
Даследчыкі ўстанавілі, што сервер зламыснікаў правярае IP-адрас карыстальніка яшчэ да дастаўкі шкоднаснага змесціва. Калі запыт паступае не з Украіны, карыстальніку выдаецца бясшкодны дакумент-прынада, звязаны з рэгуляваннем сферы электронных камунікацый. Калі ж ахвяра знаходзіцца ва Украіне, сервер адпраўляе архіў са шкоднасным JavaScript-файлам.
Пасля запуску скрыпт паказвае карыстальніку легітымны дакумент, адначасова ўсталёўваючы наступную стадыю заражэння — загрузчык PicassoLoader. Гэты інструмент збірае інфармацыю пра сістэму, уключаючы імя карыстальніка, назву камп’ютара, версію аперацыйнай сістэмы, час загрузкі прылады і спіс запушчаных працэсаў. Сабраныя даныя рэгулярна адпраўляюцца на сервер кіравання зламыснікаў.
Паводле даных ESET, рашэнне аб далейшым заражэнні прымаецца не аўтаматычна. Аператары групоўкі аналізуюць атрыманую інфармацыю і вызначаюць, ці ўяўляе канкрэтная ахвяра цікавасць. Толькі пасля такой праверкі на камп’ютар можа быць дастаўлены наступны кампанент атакі — інструмент на базе Cobalt Strike, які дазваляе атрымаць аддалены кантроль над сістэмай і выкарыстоўваць яе для шпіянажу.
Аўтары даследавання адзначаюць, што FrostyNeighbor пастаянна ўдасканальвае свае метады. За апошнія гады група выкарыстоўвала розныя тыпы прынад, уключаючы дакументы CHM, XLS, PPT і DOC, эксплуатавала ўразлівасць WinRAR CVE-2023-38831, а таксама ўжывала легітымныя сэрвісы для дастаўкі шкоднаснага кода і адсочвання ахвяр.
Паводле ацэнкі ESET, новая схема атак дэманструе высокі ўзровень падрыхтоўкі аператараў. Выкарыстанне геаграфічнай фільтрацыі, праверкі ахвяр на баку сервера і шматступенчатай ланцужкі заражэння дазваляе зламыснікам зніжаць рызыку выяўлення і канцэнтравацца на найбольш цікавых мэтах.
У кампаніі лічаць, што актыўнасць FrostyNeighbor пацвярджае захаванне цікавасці звязаных з Беларуссю кібергруп да дзяржаўных структур і стратэгічных аб’ектаў у краінах Усходняй Еўропы.
