FrostyNeighbor grupa koristi zakazane zadatke za održavanje pristupa u napada na ukrajinsku vladu
FrostyNeighbor je pokrenula sofisticiranu kampanju napada na ukrajinsku vladu koristeći maliciozne PDF dokumente i zakazane zadatke za održavanje pristupa.
Šta se desilo?
Grupa hakera poznata kao FrostyNeighbor je pokrenula novu kampanju napada na vladine institucije Ukrajine. Grupa, aktivna od najmanje 2016. godine, koristi sofisticiranu metodologiju koju čini kombinacija malicioznih PDF dokumenata, višeslojnih malver skripti i filtriranja žrtava na serverskoj strani. Novi napadi su detektovani od marta 2026. godine i pokazuju značajnu evoluciju u taktikama ove grupe.
Koga pogađa?
Primarno su ugrožene vladine organizacije, vojne strukture, industrijske kompanije i zdravstvene institucije u Ukrajini. Istorijski, grupa je ciljala i zemlje u blizini Belorusije, uključujući Poljsku i Litvaniju. Napadi se karakterišu selektivnim pristupom - finalna payload se isporučuje samo nakon manuelne potvrde da je cilj vredan napada.
Kako se zaštititi?
- Budite skeptični prema PDF dokumentima koji dolaze kao email prilozi, čak i ako izgledaju kao legitimne vladine komunikacije
- Ne klikćite na dugmad za preuzimanje unutar PDF dokumenata iz nepoznatih izvora
- Primenite stroge kontrole pristupa zakazanim zadacima (Scheduled Tasks) i redovno ih audituirajte
- Ažurirajte sigurnosne alate i antivirusne programa kako biste detektovali nove varijante malvera
- Provedite redovne bezbednosne obuke za zaposlene sa fokusom na prepoznavanje spearphishing kampanja
- Pratite preporuke CERT-a i sigurnosnih institucija za prevenciju napada
Tehnički detalji
FrostyNeighbor grupa je poznata i pod nazivima Ghostwriter, UNC1151, TA445, PUSHCHA i Storm-0257. Grupa redovno ažurira svoje alate i metode specifično kako bi izbegla aktiviranje bezbednosnih upozorenja. Napadi počinju spearphishing emailovima sa malicioznim PDF datotekama koje izgledu kao legitimne vladine komunikacije. Jedan primeren dokument je lažirao identitet Ukrtelecom-a, glavnog ukrajinskog telekomunikacionog preduzeća. Filtiranje žrtava se vrši serverski - u zavisnosti od lokacije i ostalih faktora, server odlučuje da li isporučiti finalni payload. Ovaj pristup čini operaciju izuzetno teško vidljivom u kontrolisanoj sredini.
Preporuka Sajber Radara
Vladine agencije i kritična infrastruktura u Ukrajini i bliskim zemljama trebaju da primene pojačane mere zaštite posebno u pogledu provere PDF dokumenata i nadgledanja zakazanih zadataka. Redovna primena bezbednosnih zakrpa i monitoring za sumnjivost aktivnosti su neophodni za sprečavanje ovog tipa napada.
