本ブログ記事は、ウクライナの政府機関を標的としたFrostyNeighborに属する新たに発見された活動を扱っています。FrostyNeighborは継続的なサイバー作戦を実行しており、定期的にツールセットを変更・更新し、検出を回避するための侵害チェーンと手法を更新しています。当社のテレメトリによると、東ヨーロッパに位置する被害者を標的としています。
レポートの重要なポイント:
- FrostyNeighborはベラルーシの利益と一致した、長期的なサイバースパイ活動を行うアクターです。
- このグループは主に東ヨーロッパの政府、軍事、重要インフラセクターを標的としています。
- 本レポートは2026年3月から開始した新たな活動を記録しており、ツーリングと侵害チェーンの継続的な進化を示しています。
- FrostyNeighborは最終ペイロード配信前に被害者をサーバー側で検証しています。
- このグループは最近、ウクライナの政府機関を標的とするキャンペーンで活動しています。
はじめに
FrostyNeighborは、Ghostwriter、UNC1151、UAC‑0057、TA445、PUSHCHA、Storm-0257としても知られており、ベラルーシから活動していると言われるグループです。Mandiantによると、このグループは少なくとも2016年から活動しています。FrostyNeighborの活動の大多数はベラルーシに隣接する国を標的としており、少数派がヨーロッパの他国でも観測されています。FrostyNeighborはスピアフィッシング、偽情報の拡散、および標的への影響力行使(Ghostwriter影響力活動など)を試みるキャンペーンを実施していますが、様々な政府および民間部門の組織も侵害しており、ウクライナ、ポーランド、リトアニアに焦点を当てています。
FrostyNeighborは戦術、技術、および手順(TTP)の継続的な進化を示しており、時間経過とともに様々なマルウェアと配信メカニズムの多様な兵器を活用して、組織を標的としています。主要な進展としては、グループのメインペイロードダウンローダーの複数のバリアントの展開が挙げられ、CERT-UAによってPicassoLoaderと名付けられたものです。このダウンローダーのバリアントは.NET、PowerShell、JavaScript、C++で記述されています。その名称は、攻撃者が管理する環境からCobalt Strikeビーコンを取得することから由来しており、これはレンダリング可能な画像として偽装されているか、CSS、JS、SVGなどのWebに関連するファイルタイプに隠されています。Cobalt Strikeは、ペネトレーションテスターと脅威アクターの両方によって広く使用されている、エクスプロイト後のフレームワークであり、その関連するビーコンは初期インプラントとして機能し、攻撃者が侵害された被害者のコンピュータを完全に制御できるようにします。
さらに、このグループは、CHM、XLS、PPT、DOCなど、多くの異なるルア文書を使用して標的を侵害しており、WinRARの脆弱性CVE‑2023‑38831を悪用しています。FrostyNeighborは、ペイロード配信にSlackなどの正当なサービスを悪用し、被害者の追跡のためにCanarytokensを悪用しており、検出と帰属の努力を複雑にしています。
ウクライナでの標的化は軍事、防衛セクター、および政府機関に焦点を当てているようですが、ポーランドとリトアニアでの被害者学はより広く、産業および製造業、医療およびファーマ、ロジスティクス、および多くの政府機関を含む、多くのセクターを含んでいます。このレポートは当社のテレメトリのみに基づいているため、同じ地域の国の組織に対する他のキャンペーンは除外できません。
FrostyNeighborは、ポーランド組織のユーザーを標的としたスピアフィッシングキャンペーンを実施し、Interia PocztaおよびOnet Pocztaなどの主要な無料メールプロバイダーに焦点を当てています。これらのキャンペーンには、認証情報を収集するために設計されたスプーフィングされたログインページが含まれていました。さらに、CERT-PLは、このグループがCVE‑2024‑42009のRoundcubeにおけるXSS脆弱性を悪用し、武器化されたメールメッセージを開く際にJavaScriptを実行できるようにしており、被害者の認証情報を流出させていることを報告しています。これは、マルウェア侵害と認証情報の収集の両方の取り組みにおけるグループの努力を反映しています。
過去の発表
FrostyNeighborのキャンペーンは長年にわたって活動しており、そのため長年にわたって公開されている多くの文献があります。これらの一部には、2024年7月のレポートが含まれており、CERT-UAは、ウクライナの政府機関を標的とした、グループに属する活動の急増を報告しました。2025年2月、SentinelOneは、ウクライナの政府とベラルーシの野党活動家を標的とした活動の急増を記録し、以前に観測されたペイロードの新しい適応を使用していました。
2025年8月、HarfangLabは、ウクライナおよびポーランドの組織を標的とするための特定の侵害チェーンにおける悪意のあるアーカイブを含む活動の新しいクラスターを観測しました。最後に、2025年12月、StrikeReadyは、ルア文書内のVBAマクロによって実行されるダイナミックCAPTCHAを使用した、新しい反分析技術を記録しました。
新たに発見された活動
2026年3月以降、ウクライナの政府機関を標的とするスピアフィッシング添付ファイルを介して送信された悪意のあるPDF内のリンクを使用して、FrostyNeighborに属すると判断した新たな活動を検出しました。侵害チェーンは現在までに観測された最新のものであり、JavaScriptバージョンのPicassoLoaderを使用してCobalt Strikeペイロードを配信します。これは図1に示されています。
これは、53_7.03.2026_R.pdfという名前の曇ったルアPDFファイルで始まります。図2に示されており、ウクライナの通信会社Ukrtelecomになりすまし、「顧客データの信頼できる保護を保証する」(機械翻訳)というメッセージと、グループが管理する配信サーバーでホストされているドキュメントへのリンクを含むダウンロードボタンが表示されます。
被害者が予想される地理的位置から来ていない場合、サーバーは同じ名前53_7.03.2026_R.pdfの無害なPDFファイルを配信し、これはウクライナの国家通信規制委員会(nkek.gov.ua)の2024年から2026年の電子通信分野の規制に関連しています。これは図3に示されています。
被害者がウクライナからのIPアドレスを使用している場合、サーバーは代わりに53_7.03.2026_R.rarという名前のRARアーカイブを配信し、攻撃の最初のステージである53_7.03.2026_R.jsが含まれています。これはPDFファイルをドロップして表示するJavaScriptファイルです。同時に、2番目のステージも実行されます。これはJavaScriptバージョンのPicassoLoaderダウンローダーであり、グループによって使用されることが知られています。最初のステージスクリプトは難読化を解除され、読みやすくするために再構成されており、短縮版は図4に提供されています。
最初の実行では、スクリプトは図3に示されている同じPDFルアをデコードして被害者に表示し、‑‑updateフラグを使用して自身を実行してコードの他のセクションに到達します。他のフラグはまったく使用されていません。
2番目の実行中、スクリプトは2番目のステージダウンローダー(PicassoLoader)をドロップし、これはスクリプトに埋め込まれており(base64を使用してエンコードされている)、%AppData%\WinDataScope\Update.jsとして、https://book-happy.needbinding[.]icu/wp-content/uploads/2023/10/1GreenAM.jpgからスケジュール済みタスクテンプレートをダウンロードします。これは図5に示されています。
JPG画像がリクエストされているにもかかわらず、サーバーはテキストベースのコンテンツで応答し、Content-TypeおよびContent-Dispositionヘッダーを使用して、Cloudflareインフラの背後でホストされているC&Cサーバーからのxml添付ファイルを宣伝します。
Content-Type: application/xml
Server: cloudflare
Content-Disposition: attachment; filename=”config.xml”
永続性を実現し、PicassoLoaderの最初の実行をトリガーするために、スクリプトはプレースホルダー値を応答ファイル1GreenAM.jpgから解析されたデータに置き換えます。
- <StartBoundary></StartBoundary>,
- <Command>1</Command>、および
- <Arguments>1</Arguments>。
最初のステージである53_7.03.2026_R.jsは、%AppData%\WinDataScopeの下にWinUpdate.regとしてREGファイルもドロップし、その内容はPicassoLoaderダウンローダーによってレジストリにインポートされます。PicassoLoaderスクリプトは難読化を解除され、読みやすくするために再構成されており、短縮版は図6に提供されています。
実行されると、PicassoLoaderは被害者のコンピュータをフィンガープリントし、ユーザー名、コンピュータ名、OSバージョン、コンピュータのブート時間、現在の時刻、および実行中のプロセスのリストとそのプロセスID(PID)を収集することで、被害者のコンピュータをフィンガープリントします。10分ごとに、侵害されたコンピュータのフィンガープリントはhttps://book-happy.needbinding[.]icu/employment/documents-and-resourcesへのHTTP POSTリクエストを介してC&Cサーバーに送信されます。C&Cサーバーの応答コンテンツが100バイトより大きい場合、受信したデータはevalメソッドを使用して実行されます。
ペイロードを配信するかどうかを決定することは、おそらくオペレーターによって手動で実行され、被害者が関心があるかどうかを判断するために収集された情報に基づいています。関心がある場合は、C&Cサーバーは、Cobalt Strike用の3番目のステージJavaScriptドロッパーで応答します。そうでない場合は、空の応答を返します。3番目のステージスクリプトは難読化を解除され、読みやすくするために再構成されており、短縮版は図7に提供されています。
この追加スクリプトは、正当なrundll32.exeを%ProgramData%\ViberPC.exeにコピーすることから始まります。これはおそらく、いくつかのセキュリティメカニズムまたは検出ルールをバイパスするためのものです。
次に、このステージに埋め込まれたCobalt Strikeビーコンはbase64でデコードされ、%ProgramData%\ViberPC.dllとしてディスクに書き込まれます。最後に、ViberPC.regという名前のREGファイルを作成してインポートすることで、永続性を実現します。このファイルは、HKCU RunキーにLNKファイルである%ProgramData%\ViberPC.lnkを登録し、これは、%ProgramData%\ViberPC.dllのコマンドライン引数を使用してrundll32.exeのコピーされたバージョンを実行し、DLLエクスポートSettingTimeAPIを呼び出します。
最終的なペイロードはCobalt Strikeビーコンであり、https://nama-belakang.nebao[.]icu/statistics/discover.txtでC&Cサーバーに接続します。
結論
FrostyNeighborは、多様なルア文書の使用、進化するルアおよびダウンローダーバリアント、および新しい配信メカニズムの使用により、高い運用成熟度を示す、永続的で適応性のある脅威アクターのままです。検出を回避して標的を侵害するために兵器を更新および更新する意思の継続です。
このグループのキャンペーンは東ヨーロッパに焦点を当て続けており、特にポーランド、リトアニア、ウクライナの政府、防衛、および重要セクターに重点を置いており、ESETテレメトリによるものです。
ペイロードはサーバー側での被害者検証後にのみ配信されており、ユーザーエージェントとIPアドレスの自動チェックとオペレーターによる手動検証を組み合わせています。グループの活動、インフラストラクチャ、およびツールセットの変化を継続的に厳密に監視することは、将来の活動を検出および軽減するために不可欠です。
WeLiveSecurityに掲載された当社の研究に関するお問い合わせについては、[email protected]でお問い合わせください。
ESETリサーチはプライベートAPTインテリジェンスレポートとデータフィードを提供しています。このサービスについてのお問い合わせについては、ESETの脅威インテリジェンスページをご覧ください。
侵害指標(IoCs)
侵害指標(IoCs)とサンプルの包括的なリストは、当社のGitHubリポジトリにあります。
ファイル
| SHA‑1 | ファイル名 | 検出 | 説明 |
| 776A43E46C36A539C916 |
53_7.03.2026_R |
JS/TrojanDropper.Fr |
ルアRARアーカイブ。 |
| 8D1F2A6DF51C7783F2EA |
53_7.03.2026_R |
JS/TrojanDropper.Fr |
JavaScriptドロッパー。 |
| B65551D339AECE718EA1 |
Update.js | JS/TrojanDownloader |
JavaScriptのPicassoLoaderダウンローダー。 |
| E15ABEE1CFDE8BE7D87C |
Update.js | JS/TrojanDropper.Fr |
Cobalt Strikeドロッパー。 |
| 43E30BE82D82B24A6496 |
ViberPC.dll | Win32/CobaltStrike. |
Cobalt Strikeビーコン。 |
| 4F2C1856325372B9B776 |
53_7.03.2026_R |
PDF/TrojanDownloade |
ルアPDFドキュメント。 |
| D89E5524E49199B1C3B6 |
Certificate.pdf | PDF/TrojanDownloade |
ルアPDFドキュメント。 |
| 7E537D8E91668580A482 |
certificate.js | JS/TrojanDownloader |
JavaScriptのPicassoLoaderダウンローダー。 |
| FA6882672AD365480098 |
certificate.js | JS/TrojanDownloader |
JavaScriptのPicassoLoaderダウンローダー。 |
| 3FA7D1B13542F1A9EB05 |
Сетифікат_CAF.rar | JS/TrojanDropper.Fr |
ルアRARアーカイブ。 |
| 4E52C92709A918383E90 |
Сетифікат_CAF.js | JS/TrojanDropper.Fr |
JavaScriptドロッパー。 |
| 6FDED427A16D5314BA3E |
EdgeTaskMachine |
JS/TrojanDropper.Fr |
JavaScriptのPicassoLoaderダウンローダー。 |
| 27FA11F6A1D653779974 |
EdgeSystemConfig |
Win32/CobaltStrike. |
Cobalt Strikeビーコン。 |
ネットワーク
| IP | ドメイン | ホスティングプロバイダ | 最初に見られた日付 | 詳細 |
| N/A | attachment-storage-asset- |
N/A | 2026‑03‑10 | PicassoLoaderのC&Cサーバー。 |
| N/A | book-happy.needbindin |
N/A | 2026‑03‑10 | PicassoLoaderのC&Cサーバー。 |
| N/A | nama-belakang.nebao[.]icu | N/A | 2026‑03‑10 | Cobalt StrikeのC&Cサーバー。 |
| N/A | easiestnewsfromourpointof |
N/A | 2026‑04‑14 | PicassoLoaderのC&Cサーバー。 |
| N/A | mickeymousegamesdealer.al |
N/A | 2026‑03‑26 | PicassoLoaderのC&Cサーバー。 |
| N/A | hinesafar.sardk[.]icu | N/A | 2026‑04‑14 | PicassoLoaderのC&Cサーバー。 |
| N/A | shinesafar.sardk[.]icu | N/A | 2026‑04‑14 | PicassoLoaderのC&Cサーバー。 |
| N/A | best-seller.lavanill |
N/A | 2026‑04‑14 | Cobalt StrikeのC&Cサーバー。 |
MITRE ATT&CKの手法
このテーブルはMITRE ATT&CKフレームワークのバージョン18を使用して構築されました。
| 戦術 | ID | 名前 | 説明 |
| リソース開発 | T1583 | インフラストラクチャの取得 | FrostyNeighborはドメイン名を取得し、C&Cサーバーをレンタルしています。 |
| T1608 | 機能のステージング | FrostyNeighborはC&Cサーバー上に最終ペイロードをホストしています。 | |
| T1588.002 | 機能の取得:ツール | FrostyNeighborは流出したバージョンのCobalt Strikeを取得して、ペイロードを生成しました。 | |
| 初期アクセス | T1566.001 | フィッシング:スピアフィッシング添付 | FrostyNeighborはメール添付ファイルで武装化されたルアドキュメントを送信します。 |
| 実行 | T1204.002 | ユーザー実行:悪意のあるファイル | FrostyNeighborは、被害者をトリックしてドキュメントを開いたり編集したりして、コード実行を取得します。 |
| T1053.005 | スケジュール済みタスク/ジョブ:スケジュール済みタスク | FrostyNeighborはスケジュール済みタスクを使用して永続性を実現しています。 | |
| T1059 | コマンドおよびスクリプトインタープリタ | FrostyNeighborはJavaScript、Visual Basic、PowerShellなどのスクリプト言語を使用しています。 | |
| 永続性 | T1060 | レジストリ実行キー/スタートアップフォルダ | FrostyNeighborはレジストリ実行キーとスタートアップフォルダを使用して永続性を実現しています。 |
| 防衛回避 | T1027 | 難読化されたファイルまたは情報 | FrostyNeighborはスクリプトとコンパイルされたバイナリを難読化しています。 |
| T1027.009 | 難読化されたファイルまたは情報:埋め込みペイロード | FrostyNeighborは、初期ルアドキュメント内に次のステージまたはペイロードを埋め込んでいます。 | |
| T1036.005 | なりすまし:正当なリソース名または場所に一致 | FrostyNeighborは、一般的なマイクロソフトのファイル名と場所を使用して悪意のあるファイルをドロップしています。 | |
| 発見 | T1057 | プロセス発見 | PicassoLoaderは実行中のプロセスのリストを収集しています。 |
| T1082 | システム情報発見 | PicassoLoaderはシステムおよびユーザー情報を収集しています。 | |
| コマンドと制御 | T1071.001 | アプリケーション層プロトコル:Webプロトコル | FrostyNeighborはC&C通信とペイロード配信にHTTPSを使用しています。 |
| 流出 | T1041 | C2チャネル経由の流出 | FrostyNeighborはCobalt Strikeを使用してHTTPSを使用しています。 |
翻訳元: https://www.welivesecurity.com/en/eset-research/frostyneighbor-fresh-mischief-digital-shenanigans/
