В этом блоге рассказывается о недавно обнаруженной деятельности, приписываемой FrostyNeighbor, направленной против правительственных организаций в Украине. Согласно нашей телеметрии, FrostyNeighbor проводит постоянные кибероперации, регулярно меняя и обновляя свой набор инструментов, а также обновляя цепочку компрометации и методы уклонения от обнаружения, нацеливаясь на жертв, расположенных в Восточной Европе.
Ключевые моменты отчета:
- FrostyNeighbor — это давно действующий кибершпионский актор, по-видимому, связанный с Беларусью.
- Группа в основном нацелена на правительственные, военные и ключевые секторы в Восточной Европе.
- В данном отчете задокументирована новая активность, наблюдавшаяся с марта 2026 года, демонстрирующая постоянное совершенствование инструментария и цепочек компрометации.
- FrostyNeighbor использует проверку жертв на стороне сервера перед доставкой окончательного полезного груза.
- В последнее время группа активно участвовала в кампаниях, направленных против правительственных организаций в Украине.
Введение
FrostyNeighbor, также известная как Ghostwriter, UNC1151, UAC‑0057, TA445, PUSHCHA или Storm-0257, — это группа, предположительно действующая из Беларуси. По данным Mandiant, группа ведет активную деятельность по крайней мере с 2016 года. Большинство операций FrostyNeighbor было направлено на страны, граничащие с Беларусью; небольшое количество операций было зафиксировано в других европейских странах. FrostyNeighbor проводит кампании, в которых использует целевой фишинг, распространяет дезинформацию и пытается влиять на свои цели (подобно деятельности Ghostwriter по оказанию влияния), но также скомпрометировала ряд организаций государственного и частного секторов, уделяя особое внимание Украине, Польше и Литве.
FrostyNeighbor демонстрирует постоянную эволюцию своих тактик, техник и процедур (TTP), со временем используя разнообразный арсенал вредоносного ПО и механизмов доставки для атак на организации. К ключевым нововведениям относится развертывание нескольких вариантов основного загрузчика полезной нагрузки группы, названного CERT-UA PicassoLoader. Варианты этого загрузчика написаны на .NET, PowerShell, JavaScript и C++. Название происходит от того, что он извлекает маяк Cobalt Strike из среды, контролируемой злоумышленником, замаскированный под изображение, готовое к отображению, или скрытый в файле веб-типа, таком как CSS, JS или SVG. Cobalt Strike — это фреймворк для последующей эксплуатации, широко используемый как пентестерами, так и злоумышленниками, а связанный с ним маяк действует как начальный имплантат, позволяющий злоумышленнику полностью контролировать скомпрометированный компьютер жертвы.
Кроме того, группа использует широкий спектр приманковых документов для взлома своих целей, таких как CHM, XLS, PPT или DOC, и эксплуатирует уязвимость WinRAR CVE‑2023‑38831. FrostyNeighbor также использует легитимные сервисы, такие как Slack для доставки полезной нагрузки и Canarytokens для отслеживания жертв, что затрудняет обнаружение и атрибуцию.
Хотя атаки в Украине, по-видимому, сосредоточены на военных, оборонных и государственных структурах, спектр жертв в Польше и Литве шире и включает, среди прочего, самые разные секторы, такие как промышленность и производство, здравоохранение и фармацевтика, логистика, а также многие государственные организации. Поскольку данный отчет основан исключительно на наших телеметрических данных, нельзя исключать проведение других кампаний против организаций в странах того же региона.
FrostyNeighbor проводила кампании по целевому фишингу, нацеленные на пользователей польских организаций, уделяя особое внимание крупным бесплатным почтовым провайдерам, таким как Interia Poczta и Onet Poczta. Эти кампании включали поддельные страницы входа, предназначенные для сбора учетных данных. Кроме того, CERT-PL сообщил, что группа использовала уязвимость XSS CVE‑2024‑42009 в Roundcube, которая позволяет выполнять JavaScript при открытии зараженных электронных писем, для похищения учетных данных жертвы. Это отражает стремление группы как к заражению вредоносным ПО, так и к сбору учетных данных.
Прошлые публикации
Кампании FrostyNeighbor ведутся уже много лет и поэтому с течением времени были широко задокументированы. Среди них есть отчеты от июля 2024 года, когда CERT-UA сообщил о всплеске активности, приписываемой этой группе и направленной против украинских государственных структур. В феврале 2025 года SentinelOne зафиксировал всплеск активности, направленной против украинских правительственных чиновников и оппозиционных активистов в Беларуси, с использованием новых модификаций ранее наблюдавшихся вредоносных кодов.
В августе 2025 года HarfangLab зафиксировала новые кластеры активности, в которых использовались вредоносные архивы в определенных цепочках атак, направленных против украинских и польских организаций. Наконец, в декабре 2025 года StrikeReady зафиксировала новую технику противодействия анализу, использующую динамические CAPTCHA, которые жертвам приходилось решать, и выполняемую макросом VBA в документе-приманке.
Недавно обнаруженная активность
С марта 2026 года мы обнаружили новую активность, которую мы отнесли к FrostyNeighbor, с использованием ссылок в вредоносных PDF-файлах, отправленных в виде вложений в рамках целевого фишинга, для атак на правительственные организации в Украине. Цепочка компрометации является самой новой из наблюдавшихся на сегодняшний день и использует версию PicassoLoader на JavaScript для доставки полезной нагрузки Cobalt Strike, как показано на рисунке 1.
Все начинается с затуманенного PDF-файла-приманки с именем 53_7.03.2026_R.pdf, показанного на рисунке 2, выдающего себя за украинскую телекоммуникационную компанию «Укртелеком», с сообщением о том, что она якобы «гарантирует надежную защиту данных клиентов» (машинный перевод), и кнопкой загрузки со ссылкой, ведущей к документу, размещенному на сервере доставки, контролируемом группой.
Если жертва находится не в ожидаемом географическом регионе, сервер доставляет безобидный PDF-файл с тем же именем, 53_7.03.2026_R.pdf, касающийся нормативных актов в сфере электронных коммуникаций на период с 2024 по 2026 год от Национальной комиссии Украины по государственному регулированию электронных коммуникаций, радиочастотного спектра и предоставления почтовых услуг (nkek.gov.ua), как показано на рисунке 3.
Если жертва использует IP-адрес из Украины, сервер вместо этого доставляет RAR-архив с именем 53_7.03.2026_R.rar, содержащий первую стадию атаки под названием 53_7.03.2026_R.js — файл JavaScript, который запускает и отображает PDF-файл в качестве приманки. Одновременно он также запускает второй этап: JavaScript-версию загрузчика PicassoLoader, который, как известно, используется этой группой. Скрипт первого этапа был деобфусцирован и рефакторирован для удобства чтения; его сокращенная версия представлена на рисунке 4.
53_7.03.2026_R.js
При первом запуске скрипт декодирует и отображает жертве тот же PDF-файл-приманку, что и на рисунке 3, а также запускает себя с флагом ‑‑update, чтобы перейти к другому разделу кода; остальные флаги не используются вовсе.
Во время второго запуска скрипт запускает загрузчик второго уровня (PicassoLoader), который встроен в скрипт (закодирован с помощью base64) как %AppData%WinDataScopeUpdate.js, и загружает шаблон запланированной задачи с https://book-happy.needbinding[.]icu/wp-content/uploads/2023/10/1GreenAM.jpg, как показано на рисунке 5.
Несмотря на то, что запрашивается изображение в формате JPG, сервер отвечает текстовым контентом, используя заголовки Content-Type и Content-Disposition для указания на XML-вложение с их C&C-сервера, размещенного за инфраструктурой Cloudflare:
Content-Type: application/xml
Сервер: cloudflare
Content-Disposition: attachment; filename=»config.xml»
Чтобы обеспечить постоянство и запустить первое выполнение PicassoLoader, скрипт затем заменяет значения заполнителей данными, извлеченными из файла ответа 1GreenAM.jpg:
- <StartBoundary></StartBoundary>,
- <Command>1</Command>, и
- <Arguments>1</Arguments>.
Первый этап, 53_7.03.2026_R.js, также помещает файл REG в папку %AppData%WinDataScope под именем WinUpdate.reg, содержимое которого импортируется в реестр загрузчиком PicassoLoader. Скрипт PicassoLoader был деобфусфицирован и рефакторирован для удобства чтения; его сокращенная версия представлена на рисунке 6.
При запуске PicassoLoader собирает отпечаток компьютера жертвы, собирая имя пользователя, имя компьютера, версию ОС, время загрузки компьютера, текущее время и список запущенных процессов с их идентификаторами (PID). Каждые 10 минут отпечаток скомпрометированного компьютера отправляется на C&C-сервер посредством HTTP-запроса POST на адрес https://book-happy.needbinding[.]icu/employment/documents-and-resources. Если объем ответа C&C-сервера превышает 100 байт, полученные данные выполняются с помощью метода eval.
Решение о том, доставлять ли полезную нагрузку, скорее всего, принимается операторами вручную на основе собранной информации, чтобы определить, представляет ли жертва интерес. Если да, то C&C-сервер отвечает дроппером JavaScript третьего уровня для Cobalt Strike; в противном случае он возвращает пустой ответ. Этот скрипт третьего уровня был деобфусцирован и рефакторирован для удобства чтения; его сокращенная версия приведена на рисунке 7.
Этот дополнительный скрипт начинается с копирования легитимного файла rundll32.exe в %ProgramData%ViberPC.exe, скорее всего, для обхода некоторых механизмов безопасности или правил обнаружения.
Затем встроенный в этот этап маяк Cobalt Strike декодируется с помощью base64 и записывается на диск как %ProgramData%ViberPC.dll. Наконец, устойчивость достигается путем создания и импорта файла REG с именем ViberPC.reg, который регистрирует в ключе HKCU Run файл LNK с именем %ProgramData%ViberPC.lnk, который запускает скопированную версию rundll32.exe с аргументом командной строки %ProgramData%ViberPC.dll, вызывая его экспорт DLL SettingTimeAPI.
Конечной полезной нагрузкой является маяк Cobalt Strike, который связывается со своим C&C-сервером по адресу https://nama-belakang.nebao[.]icu/statistics/discover.txt.
Заключение
FrostyNeighbor остается стойким и адаптивным злоумышленником, демонстрируя высокий уровень оперативной зрелости благодаря использованию разнообразных приманковых документов, развивающихся вариантов приманок и загрузчиков, а также новых механизмов доставки. Эта новейшая цепочка компрометации, которую мы обнаружили, является продолжением стремления группы обновлять и обновлять свой арсенал, пытаясь уклониться от обнаружения, чтобы скомпрометировать свои цели.
Согласно телеметрическим данным ESET, кампании группы по-прежнему сосредоточены на Восточной Европе, с особым акцентом на правительственные, оборонные и ключевые секторы, особенно в Польше, Литве и Украине.
Полезная нагрузка доставляется только после проверки жертвы на стороне сервера, которая сочетает в себе автоматические проверки запрашивающего пользовательского агента и IP-адреса с ручной проверкой операторами. Непрерывный и тщательный мониторинг операций группы, ее инфраструктуры и изменений в наборе инструментов имеет решающее значение для обнаружения и смягчения последствий будущих операций.
По любым вопросам, касающимся наших исследований, опубликованных на WeLiveSecurity, обращайтесь к нам по адресу threatintel@eset.com.ESET Research предлагает частные отчеты по APT-угрозам и информационные ленты. По любым вопросам, касающимся этой услуги, посетите страницу ESET Threat Intelligence.
IoC
Полный список индикаторов компрометации (IoC) и образцов можно найти в нашем репозитории GitHub.
Файлы
| SHA‑1 | Имя файла | Обнаружение | Описание |
| 776A43E46C36A539C916 |
53_7.03.2026_R |
JS/TrojanDropper.Fr |
Приманка в виде RAR-архива. |
| 8D1F2A6DF51C7783F2EA |
53_7.03.2026_R |
JS/TrojanDropper.Fr |
JavaScript-дроппер. |
| B65551D339AECE718EA1 |
Update.js | JS/TrojanDownloader |
JavaScript-загрузчик PicassoLoader. |
| E15ABEE1CFDE8BE7D87C |
Update.js | JS/TrojanDropper.Fr |
Дроппер Cobalt Strike. |
| 43E30BE82D82B24A6496 |
ViberPC.dll | Win32/CobaltStrike. |
Маяк Cobalt Strike. |
| 4F2C1856325372B9B776 |
53_7.03.2026_R |
PDF/TrojanDownloade |
Приманка PDF-документ. |
| D89E5524E49199B1C3B6 |
Certificate.pdf | PDF/TrojanDownloade |
Приманка в виде PDF-документа. |
| 7E537D8E91668580A482 |
certificate.js | JS/TrojanDownloader |
JavaScript-загрузчик PicassoLoader. |
| FA6882672AD365480098 |
certificate.js | JS/TrojanDownloader |
JavaScript-загрузчик PicassoLoader. |
| 3FA7D1B13542F1A9EB05 |
Сертификат_CAF.rar | JS/TrojanDropper.Fr |
Архив RAR-приманка. |
| 4E52C92709A918383E90 |
Сертификат_CAF.js | JS/TrojanDropper.Fr |
JavaScript-дроппер. |
| 6FDED427A16D5314BA3E |
EdgeTaskMachine |
JS/TrojanDropper.Fr |
JavaScript-загрузчик PicassoLoader. |
| 27FA11F6A1D653779974 |
EdgeSystemConfig |
Win32/CobaltStrike. |
Cobalt Strike beacon. |
Сеть
| IP | Домен | Хостинг-провайдер | Впервые обнаружен | Подробности |
| Н/Д | attachment-storage-asset- |
Н/Д | 10.03.2026 | C&C-сервер PicassoLoader. |
| Н/Д | book-happy.needbindin |
Н/Д | 10 марта 2026 г. | C&C-сервер PicassoLoader. |
| Н/Д | nama-belakang.nebao[.]icu | Н/Д | 10.03.2026 | C&C-сервер Cobalt Strike. |
| Н/Д | easiestnewsfromourpointof |
Н/Д | 14.04.2026 | C&C-сервер PicassoLoader. |
| Н/Д | mickeymousegamesdealer.al |
Н/Д | 26.03.2026 | C&C-сервер PicassoLoader. |
| Н/Д | hinesafar.sardk[.]icu | Н/Д | 14.04.2026 | C&C-сервер PicassoLoader. |
| Н/Д | shinesafar.sardk[.]icu | Н/Д | 14.04.2026 | C&C-сервер PicassoLoader. |
| Н/Д | best-seller.lavanill |
Н/Д | 14.04.2026 | C&C-сервер Cobalt Strike. |
Техники MITRE ATT&CK
Эта таблица была составлена с использованием версии 18 фреймворка MITRE ATT&CK.
| Tactic | ID | Название | Описание |
| Разработка ресурсов | T1583 | Приобретение инфраструктуры | FrostyNeighbor приобретает доменные имена и арендует C&C-серверы. |
| T1608 | Подготовка | FrostyNeighbor размещает конечную полезную нагрузку на C&C-сервере. | |
| T1588.002 | Возможности получения: инструмент | FrostyNeighbor получил утечку версии Cobalt Strike для генерации полезных нагрузок. | |
| Первоначальный доступ | T1566.001 | Фишинг: вложение для целевого фишинга | FrostyNeighbor отправляет зараженный документ-приманку в виде вложения по электронной почте. |
| Выполнение | T1204.002 | Выполнение пользователем: вредоносный файл | FrostyNeighbor обманывает своих жертв, заставляя их открыть или отредактировать документ, чтобы обеспечить выполнение кода. |
| T1053.005 | Запланированная задача/работа: запланированная задача | FrostyNeighbor использует запланированные задачи для обеспечения постоянного присутствия. | |
| T1059 | Интерпретатор команд и скриптов | FrostyNeighbor использует языки сценариев, такие как JavaScript, Visual Basic и PowerShell. | |
| Устойчивость | T1060 | Ключи реестра «Run» / папка «Автозагрузка» | FrostyNeighbor использует ключ «Run» реестра и папку «Автозагрузка» для обеспечения персистентности. |
| Обход средств защиты | T1027 | Запутывание файлов или информации | FrostyNeighbor обфускирует скрипты и скомпилированные бинарные файлы. |
| T1027.009 | Запутывание файлов или информации: встроенные полезные нагрузки | FrostyNeighbor встраивает следующие этапы или полезные нагрузки в исходный документ-приманку. | |
| T1036.005 | Маскировка: совпадение с именем или расположением легитимного ресурса | FrostyNeighbor размещает вредоносные файлы, используя распространенные имена файлов и расположения Microsoft. | |
| Обнаружение | T1057 | Обнаружение процессов | PicassoLoader собирает список запущенных процессов. |
| T1082 | Обнаружение системной информации | PicassoLoader собирает информацию о системе и пользователе. | |
| Управление | T1071.001 | Протокол прикладного уровня: веб-протоколы | FrostyNeighbor использует HTTPS для связи с командно-контрольным сервером и доставки полезной нагрузки. |
| Экфильтрация | T1041 | Экфильтрация через канал C2 | FrostyNeighbor использует HTTPS с Cobalt Strike. |
