Фото: sebastiaan stam / unsplash.com
Исследователи компании ESET зафиксировали новую активность хакерской группы FrostyNeighbor, также известной под названиями Ghostwriter, UNC1151, UAC‑0057, TA445, PUSHCHA или Storm-0257, пишет WeLiveSecurity. Группа предположительно действует из Беларуси и активна как минимум с 2016 года.
По данным авторов, с марта 2026 года группа проводит целевые фишинговые атаки на государственные организации Украины, используя обновленную схему заражения. Жертвам рассылаются PDF-файлы, замаскированные под документы украинского оператора «Укртелеком». При открытии ссылки из документа система проверяет IP-адрес пользователя. Если он находится на Украине, вместо безобидного файла загружается вредоносный RAR-архив с JavaScript-загрузчиком PicassoLoader.
Загрузчик собирает данные о зараженном компьютере — имя пользователя, версию ОС, список запущенных процессов — и каждые 10 минут отправляет их на сервер злоумышленников. Решение о доставке финального вредоносного payload принимается операторами вручную на основе собранных данных. Если жертва представляет интерес, на компьютер загружается маяк Cobalt Strike, дающий злоумышленникам полный контроль над системой.
Группа продолжает атаковать преимущественно Украину, Польшу и Литву, целясь в государственные органы, оборонный сектор, промышленность, здравоохранение и логистику. По оценке ESET, FrostyNeighbor демонстрирует высокий уровень операционной зрелости и регулярно обновляет свой арсенал для обхода систем обнаружения.
«FrostyNeighbor остается стойким и адаптивным злоумышленником, демонстрируя высокий уровень оперативной зрелости благодаря использованию разнообразных приманковых документов, развивающихся вариантов приманок и загрузчиков, а также новых механизмов доставки. Эта новейшая цепочка атак, которую мы обнаружили, является продолжением стремления группы обновлять и пополнять свой арсенал, пытаясь уклониться от обнаружения для компрометации своих целей», — говорится в материале.