TokyoBlackHatNews

gbhackers.com 4分で読了

リビアの石油精製所が長期的なスパイキャンペーンで標的に AsyncRATが使用

2025年11月から2026年2月にかけて、リビア組織を標的とした標的型サイバースパイ活動が、石油精製所、通信事業者、および国家機関に侵入した。

このキャンペーンが際立つのは、重要インフラ、特にリビアの石油部門への焦点である。同国は2025年に1日あたり約137万バレルの石油を生産し、10年以上で最高の産出量を記録した。

湾岸地域の地政学的緊張がすでに世界のエネルギー市場に影響を与えている時期に、紛争地域以外の石油インフラの標的化は、世界のサプライチェーンに対するより広範なリスクを示している。

研究者らによると、この攻撃はAsyncRATバックドアを展開した。これは、サイバー犯罪と国家関連の運用の両方で頻繁に使用される広く入手可能なリモートアクセストロイの木であり、国家が支援する関与の可能性についての懸念が高まっている。

フィッシングと感染チェーン

初期アクセスベクトルは、リビアの政治的および社会的イベントに合わせたスピアフィッシングメールである。調査担当者は、「流出したCCTV映像 – サイフ・アルガッダフィ暗殺.gz」というタイトルのものを含む、時事問題を参照する文書を発見した。著名な政治家であるサイフ・アルガッダフィは2026年2月に暗殺され、このおとりは非常に関連性があり説得力があった。

感染したシステムには、「video_saif_gadafi_2026.vbs」などのタイムリーな名前の悪意あるVisual Basic Script(VBS)ファイルも含まれていた。

これらのスクリプトはファイル共有プラットフォーム(KrakenFiles)からダウンロードされ、多段階の感染プロセスをトリガーした。

VBSダウンローダーは、画像ファイルに偽装したPowerShellベースのドロッパーをフェッチした。このドロッパーは、公開ディレクトリに保存されたXML設定を使用して「devil」という名前のスケジュール済みタスクを作成した。タスクが実行され、永続性が確立され、その後、フォレンジックの可視性を低減するために自身を削除した。

最終的に提供されたペイロードはAsyncRATだった。これは、キーログ、スクリーンキャプチャ、認証情報窃盗、およびリモートコマンド実行が可能なモジュラーリモートアクセストロイの木である。その柔軟性とオープンソースの利用可能性は、幅広い脅威アクターにとって魅力的である。

分析は、攻撃者が少なくとも1つの石油会社ネットワークへの延長されたアクセスを維持していることを示唆しており、2025年11月と12月、および2026年2月に活動が観察された。

この永続性は戦略的目的を示唆しており、おそらく即座の混乱ではなく、インテリジェンス収集に焦点が当てられている。

キャンペーンに関連する追加サンプルは2025年4月にもVirusTotalにアップロードされた。これらのファイルはリビアテーマの命名規則も使用していた。以下のような:

  • Audio_Libya_algeria.vbs
  • Voice_Egypt_hafter_Libya.vbs
  • Libya_Jordan_File.vbs
  • names_libya444.vbs

すべてのサンプルは同様の実行パターンに従い、最終的にAsyncRATを展開した。これはリビア企業を標的とした調整された持続的なキャンペーンの可能性を強化している。

より広い影響

AsyncRATの使用と戦略的セクターの標的化は国家の関与の可能性を示唆しているが、帰属は結論に至っていない。

AsyncRATは公開されており、高度な永続的脅威(APT)グループと経済的動機のある行為者の両方によって使用されており、活動を特定のグループに結びつけるのは困難である。

しかし、標的化のレベル、地政学的背景、および長期的な永続性は、キャンペーンが国家に連携した利益に関連している可能性を高める。

このキャンペーンは、サイバーアクターがどのように地政学的不安定性を悪用して高価値標的へのアクセスを得るかを強調している。リビアの継続的な政治的脆弱性と、エネルギー安全保障に対する世界的な関心の高まりの組み合わせは、スパイ活動に魅力的な環境を作成している。

ホルムズ海峡での最近の衝突は、世界の石油供給の約20%が通過しており、供給混乱への懸念を強めた。

一部の予測では、緊張が進行すればオイル価格が1バレルあたり200ドルを超える可能性があることを示唆している。この文脈では、リビアのような代替石油生産国に対するインテリジェンス収集は戦略的に価値がある。

セキュリティ専門家は、エネルギー部門の組織は高度の警戒を保つべきだと警告している。同時に、すべての業界は、地政学的紛争と経済不安定性を含む現在の出来事を利用したフィッシングキャンペーンに注意する必要がある。

このキャンペーンは、サイバー脅威がますます世界の政治力学を反映していることを思い出させるもので、攻撃者は戦略的利益のために新たな危機を悪用するために迅速に適応している。

翻訳元: https://gbhackers.com/libyan-refinery-targeted/

ソース: gbhackers.com
#APT #AsyncRAT #サイバースパイ #スピアフィッシング #バックドア #マルウェア #リビア #地政学 #石油部門 #重要インフラ

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚