概要
2025年11月から2026年2月まで、リビアの組織を対象としたターゲット型サイバー諜報キャンペーンが展開され、石油精製所や通信会社、国家機関などが攻撃を受けた。このキャンペーンは、特にリビアの石油セクターに焦点を当てており、地政学的な緊張感が高まる中で、エネルギー供給網へのリスクを示している。
AsyncRATを使用した攻撃
研究者によると、このキャンペーンでは広く利用可能な遠隔アクセストロイ木馬であるAsyncRATが使用された。これはサイバー犯罪や国家関連の操作で使われることもあるため、国家後援による関与の可能性を懸念させる。
フィッシングと感染チェーン
攻撃者はリビアの政治的および社会的な出来事を題材にしたスピアフィッシングメールを使用して初期アクセスを得た。調査では、サイフ・アル=ガダフィ暗殺に関する「リークされたCCTV映像」を含む誘導文書が見つかった。
感染システムには、トピックに関連した名前のVisual Basic Script (VBS)ファイルも含まれていた。これらのスクリプトはファイル共有プラットフォームからダウンロードされ、マルチステージの感染プロセスを開始する。
マルウェア展開
VBSダウンローダーがPowerShellベースのドロッパー(画像ファイルとして偽装)を取得し、予め設定されたタスク「devil」を作成した。このタスクは継続的なアクセスを確立し、自身を削除して法医学的痕跡を減らす。
最終的にはAsyncRATが展開され、キーロギングやスクリーンショットの取得、資格情報の盗難、リモートコマンド実行などの機能を持つ。
長期的なアクセス
分析によると、攻撃者は少なくとも1つの石油会社ネットワークに長期的なアクセスを維持し、2025年11月と12月、および2026年2月に活動が観察された。
広範な影響
AsyncRATの使用や戦略的セクターへのターゲティングは国家関与を示唆するが、明確な帰属は困難である。しかし、高度な標的型脅威グループと経済的に動機づけられたアクターによって広く利用されているため、特定のグループとの直接的な結びつきを証明するのは難しい。
このキャンペーンは、サイバー攻撃者が地政学的不安定性を利用して高価値ターゲットへのアクセスを得ることを示している。リビアの継続的な政治的脆弱性とエネルギー安全保障に対する世界的な懸念が組み合わさり、スパイ活動に魅力的な環境を作り出している。
セキュリティ専門家の警告
エネルギー業界は警戒を強化し、フィッシングキャンペーンが地政学的衝突や経済不安定を利用することへの注意が必要である。サイバー脅威はますます世界の政治動向に反映され、攻撃者は新たな危機を利用して戦略的利益を得ようとしている。