デジタルの暗い奥深くで、国家主催アクターは引き続きサイバー諜報兵器を洗練させている。
Ghostwriter、UNC1151、Storm-0257としても追跡されているベラルーシ系の脅威グループFrostyNeighborが、高度に洗練された新しい戦術で帰ってきた。
東ヨーロッパを標的とした執拗なハッキングと偽情報キャンペーンで知られるこのグループは、最近、現代的な防御をひっそりとすり抜けるよう設計されたステルス攻撃チェーンを開始した。
一見無害なPDFドキュメントを武器化し、Windowsのスケジュール済みタスクを悪用することで、FrostyNeighborは危険なCobalt Strikeビーコンを侵害されたネットワークに積極的にデプロイしている。
少なくとも2016年以来活動しているこの執拗な集団は、ウクライナ、ポーランド、リトアニアの政府機関、軍、民間部門の企業を歴史的に標的としてきた。
以前の作戦では、FrostyNeighborはペイロード配信のためSlackなどの正当なサービスを利用し、Canarytokensを使用して被害者を入念に追跡していた。
過去の作戦はWinRARの脆弱性(CVE-2023-38831)やRoundcubeのXSSバグなどの既知の脆弱性を悪用することに依存していたが、2026年3月に発見された最新のキャンペーンは、最終的なステルスを優先するよう戦術が進化していることを示している。
最新の作戦は、悪意のあるおとりを含む非常に的を絞ったスピアフィッシングメールで始まる。
被害者は「53_7.03.2026_R.pdf」という名前のぼやけたPDFファイルを受け取り、ウクライナの通信企業Ukrtelecomになりすましている。
このドキュメントには、ターゲットを攻撃者が管理する配信サーバにリダイレクトする欺瞞的なダウンロードボタンが含まれている。
研究者を回避するために、FrostyNeighborはこの段階で厳格な地理的フィルタリングを使用している。
クリックがターゲットゾーン外の予期しない場所から発信される場合、サーバーは電子通信規制に関する無害な囮ドキュメントを配信する。
ただし、被害者のIPアドレスがウクライナにマップされている場合、サーバーは代わりに悪意のあるRARアーカイブを配信する。
FrostyNeighborの進化する基盤の継続的な監視は、将来の侵害を検出するために必須である。
セキュリティチームは、2026年3月のキャンペーンに関連する以下のファイルについて、すぐにネットワークを確認する必要がある。
翻訳元: https://cyberpress.org/scheduled-tasks-enable-persistence/