Даследчыкі кампаніі ESET зафіксавалі новую актыўнасць хакерскай групы FrostyNeighbor, таксама вядомай пад назвамі Ghostwriter, UNC1151, UAC-0057, TA445, PUSHCHA або Storm-0257, піша WeLiveSecurity. Група меркавана дзейнічае з Беларусі і актыўная як мінімум з 2016 года.
Паводле даных аўтараў, з сакавіка 2026 года група праводзіць мэтавыя фішынгавыя атакі на дзяржаўныя арганізацыі Украіны, выкарыстоўваючы абноўленую схему заражэння. Ахвярам рассылаюцца PDF-файлы, замаскіраваныя пад дакументы ўкраінскага аператара “Укртэлекам”. Пры адкрыцці спасылкі з дакумента сістэма правярае IP-адрас карыстальніка. Калі ён знаходзіцца ва Украіне, замест бяскрыўднага файла загружаецца шкоднасны RAR-архіў з JavaScript-загрузчыкам PicassoLoader.
Загрузчык збірае даныя пра заражаны камп’ютар — імя карыстальніка, версію АС, спіс запушчаных працэсаў — і кожныя 10 хвілін адпраўляе іх на сервер зламыснікаў. Рашэнне пра дастаўку фінальнага шкоднаснага payload прымаецца аператарамі ўручную на аснове сабраных даных. Калі ахвяра ўяўляе цікавасць, на камп’ютар загружаецца маяк Cobalt Strike, які дае зламыснікам поўны кантроль над сістэмай.
Група працягвае атакаваць пераважна Украіну, Польшчу і Літву, цэлячыся ў дзяржаўныя органы, абаронны сектар, прамысловасць, ахову здароўя і лагістыку. Паводле ацэнкі ESET, FrostyNeighbor дэманструе высокі ўзровень аперацыйнай сталасці і рэгулярна абнаўляе свой арсенал для абыходу сістэм выяўлення.
“FrostyNeighbor застаецца ўстойлівым і адаптыўным зламыснікам, дэманструючы высокі ўзровень аперацыйнай сталасці дзякуючы выкарыстанню разнастайных дакументаў-прыманак, варыянтаў прынад і загрузчыкаў, якія развіваюцца, а таксама новых механізмаў дастаўкі. Гэты найноўшы ланцужок атак, які мы выявілі, з’яўляецца працягам імкнення групы абнаўляць і папаўняць свой арсенал, спрабуючы ўхіліцца ад выяўлення для кампраметацыі сваіх мэт”, — гаворыцца ў матэрыяле.
