Компанія ESET, яка є провідною в сфері інформаційної безпеки, виявила нову активність білоруської кіберзлочинної групи FrostyNeighbor, що націлена на українські державні установи. Згідно з даними телеметрії ESET, зловмисники активно здійснюють кібероперації, орієнтуючись на Східну Європу, постійно оновлюючи свої інструменти та вдосконалюючи методи проникнення в системи та уникнення виявлення. Основною метою цих атак є шпигунство.
Відповідно до досліджень ESET, з березня 2026 року ця злочинна група почала проводити фішингові атаки, використовуючи шкідливі посилання в PDF-документах, які надсилаються як вкладення в електронних листах. У цих атаках застосовується версія PicassoLoader на JavaScript для доставки основного компонента Cobalt Strike.
Спочатку зловмисники надсилають PDF-документ як приманку, маскуючись під телекомунікаційну компанію “Укртелеком”. У файлі міститься повідомлення із закликом до дій, зокрема “Компанія гарантує надійний захист клієнтських даних”, а під ним розташована кнопка для завантаження з посиланням на документ, що знаходиться на сервері, контрольованому зловмисниками. Якщо отримувач використовує IP-адресу з України та натискає кнопку, сервер надсилає йому шкідливий RAR-архів. У цьому архіві міститься один з JavaScript-файлів, який завантажує та відкриває інший PDF-документ для відволікання уваги. Одночасно архів активує другий JavaScript-файл – завантажувач PicassoLoader.
Під час роботи PicassoLoader збирає інформацію, зокрема ім’я користувача та комп’ютера, версію операційної системи, час запуску, поточний час і список запущених процесів з їхніми ідентифікаторами (PID). Кожні 10 хвилин шкідливий програмний продукт надсилає ці дані на командний сервер (C&C). Рішення про доставку основного компонента, ймовірно, приймається зловмисниками на основі зібраної інформації про жертву. Якщо ці дані представляють інтерес для FrostyNeighbor, C&C-сервер відповідає, надсилаючи JavaScript-дропера (тип шкідливого ПЗ, призначеного для прихованого встановлення інших шкідливих програм) для Cobalt Strike з інструментами для кібершпигунства.
“Постійно адаптуючись, FrostyNeighbor демонструє високий рівень оперативних можливостей завдяки використанню різноманітних документів-приманок, вдосконалених варіантів завантажувачів та нових механізмів розсилки. Цей останній ланцюг атак, який ми виявили, свідчить про наміри цієї злочинної групи оновлювати та поповнювати свій арсенал інструментів, намагаючись уникнути виявлення для компрометації цілей”, – зазначає Даміен Шеффер, дослідник ESET.
FrostyNeighbor, також відома як Ghostwriter, UNC1151, UAC 0057, TA445, PUSHCHA або Storm-0257, є групою зловмисників, що діє з території Білорусі та активно функціонує щонайменше з 2016 року. Злочинці переважно здійснюють свої операції через цілеспрямований фішинг, поширення дезінформації та намагаються вплинути на свої цілі. Нещодавно вони атакували ряд урядових та приватних організацій, зосереджуючи увагу на Україні, Польщі та Литві.
Хоча їхні атаки в Україні в основному націлені на військові структури, оборонну галузь та державні установи, у Польщі та Литві перелік цілей є більш широким і охоплює різноманітні сфери, такі як промисловість і виробництво, охорона здоров’я та фармацевтика, логістика, а також численні державні організації.
Це серйозний виклик для кібербезпеки України. Важливо посилювати захист державних систем і не допустити масштабних наслідків від таких атак.
Абсолютно вірно. Посилення кіберзахисту державних систем — ключовий крок для запобігання масштабним атакам і забезпечення стабільності роботи критичної інфраструктури України.