Хакерская группа FrostyNeighbor атакует госорганы Украины с помощью новой цепочки заражения

FrostyNeighbor известна также под названиями Ghostwriter, UNC1151, UAC‑0057, TA445, PUSHCHA и Storm‑0257. По данным компании Mandiant, группировка действует как минимум с 2016 года. Основной регион её внимания - страны, граничащие с Беларусью, однако следы атак встречаются и в других государствах Европы. Помимо шпионажа, хакеры занимаются дискредитацией оппонентов: они распространяют дезинформацию через взломанные медиа и соцсети, а также активно применяют фишинг. В разное время жертвами становились государственные и частные компании Украины, Польши и Литвы.

Особенность FrostyNeighbor - постоянное обновление тактик и приёмов. За годы активности группа перепробовала десятки вредоносных программ и способов доставки. Ключевым компонентом стал PicassoLoader - загрузчик, который, как сообщал CERT-UA, существует в вариантах на .NET, PowerShell, JavaScript и C++. Своё название PicassoLoader получил из‑за того, что доставляет полезную нагрузку (Cobalt Strike beacon) под видом изображения или файла, связанного с веб-страницей (CSS, JS, SVG). Cobalt Strike - популярный фреймворк для тестирования на проникновение, который злоумышленники приспособили для полного контроля над заражённой машиной.

Не менее разнообразны и приманки, которые использует группировка: заражённые документы в форматах CHM, XLS, PPT, DOC. Хакеры не брезгуют эксплуатацией уязвимостей: например, в архиваторе WinRAR (CVE‑2023‑38831). Для доставки вредоносного кода они привлекают легитимные сервисы - Slack, а для отслеживания жертв - Canarytokens. Всё это осложняет обнаружение и атрибуцию атак.

Внушительный объём прошлых публикаций подтверждает системность FrostyNeighbor. Летом 2024 года CERT-UA предупреждал о всплеске активности группы против украинских госорганов. В феврале 2025 года SentinelOne описала новую кампанию, нацеленную на украинских чиновников и белорусских оппозиционеров. В августе 2025 года HarfangLab выявила цепочки заражения, включавшие вредоносные архивы. В декабре того же года стало известно про динамические CAPTCHA, которые жертвам приходилось решать прямо в макросе документа. Теперь, в марте 2026-го, эстафету приняла новая активность.

Исследователи ESET сообщили в своём блоге, что свежая кампания направлена на украинские правительственные учреждения. Атака начинается с PDF-файла, который выдают за документ телекоммуникационной компании "Укртелеком". Внутри - размытое изображение и кнопка для скачивания. Нажатие ведёт на сервер, подконтрольный хакерам. Дальше срабатывает механизм верификации: если IP-адрес жертвы не принадлежит Украине, сервер отдаёт безобидный PDF с украинскими нормативными актами. Если же жертва находится на Украине, вместо PDF приходит RAR-архив.

Внутри архива - JavaScript‑файл, который при запуске отображает легитимный PDF-документ, а в фоне разворачивает второй этап: PicassoLoader на JavaScript. Этот загрузчик, в свою очередь, собирает информацию о компьютере (имя пользователя, версия ОС, время загрузки, список процессов) и отправляет её на командный сервер. Каждые десять минут происходит опрос: если сервер отвечает данными длиннее 100 байт, эти данные выполняются через eval. По сути, операторы вручную решают, стоит ли доверять жертве. Тех, кто прошёл проверку, ждёт третий скрипт.

Этот завершающий скрипт копирует легитимный rundll32.exe в папку %ProgramData% под именем ViberPC.exe, затем распаковывает и сохраняет Cobalt Strike beacon в виде DLL-файла. Для закрепления в системе в реестр добавляется запись, запускающая при старте Windows ярлык, который обращается к этой DLL. Так хакеры получают полный доступ к рабочей станции государственного служащего, а затем - к внутренним сетям организации.

Почему эта атака опасна? Во-первых, она целенаправленная: хакеры проверяют каждую жертву, не тратя ресурсы на "неинтересные" цели. Во-вторых, они используют облачную инфраструктуру Cloudflare, что затрудняет блокировку командных серверов. В-третьих, арсенал группировки обновляется едва ли не каждые несколько месяцев, обходя сигнатуры антивирусов. В результате под угрозой оказываются целые ведомства: утечка служебной переписки, планов, персональных данных, а в перспективе - возможность дезинформации и кибердиверсий.

Польша и Литва также остаются в зоне риска, причём там круг жертв шире: промышленность, фармацевтика, логистика. FrostyNeighbor не ограничивается только госаппаратом. Группировка активно охотится за учётными данными через поддельные страницы входа популярных почтовых сервисов Interia Poczta и Onet Poczta, а также эксплуатирует XSS-уязвимости в веб-клиенте Roundcube (CVE‑2024‑42009).

Вывод специалистов однозначен: FrostyNeighbor - это зрелый и адаптивный противник, который не остановится на достигнутом. Для защиты от подобных атак необходимо не только своевременно обновлять программное обеспечение и обучать персонал распознавать фишинг, но и внедрять системы поведенческого анализа сети. Особое внимание стоит уделить механизмам валидации на стороне сервера: если злоумышленники проверяют жертву, значит, ответ защитников должен включать динамическую блокировку подозрительных соединений. Только непрерывный мониторинг и обмен информацией между профильными командами помогут снизить эффективность кампаний FrostyNeighbor в будущем.

Domains

• attachment-storage-asset-static.needbinding.icu
• best-seller.lavanille.buzz
• book-happy.needbinding.icu
• easiestnewsfromourpointofview.algsat.icu
• hinesafar.sardk.icu
• mickeymousegamesdealer.alexavegas.icu
• nama-belakang.nebao.icu
• shinesafar.sardk.icu

SHA1

• 27fa11f6a1d653779974b6fb54de4af47f211232
• 3fa7d1b13542f1a9eb054111f9b69c250af68643
• 43e30be82d82b24a6496f6943ecb6877e83f88ab
• 4e52c92709a918383e90534052aaa257ace2780c
• 4f2c1856325372b9b7769d00141dbc1a23bddd14
• 6fded427a16d5314ba3e1eb9afd120dc84449769
• 776a43e46c36a539c916ed426745ee96e2392b39
• 7e537d8e91668580a482bd77a5a4caba26d6bdac
• 8d1f2a6df51c7783f2eaf1a0fc0ff8d032e5b57f
• b65551d339aece718ea1465bf3542c794c445efc
• d89e5524e49199b1c3b66c524e7a63c3f0a0c199
• e15abee1cfde8be7d87c7c0b510450bad6bc0906
• fa6882672ad3654800987613310d7c3fbade027e