Кибератака на ливийский НПЗ указывает на длительную кампанию вероятного шпионажа

Целенаправленный фишинг как начальный вектор

Исследование указывает, что первоначальным вектором заражения, вероятно, стали целевые фишинговые письма (spear-phishing). На скомпрометированных сетях были обнаружены документы-приманки, эксплуатирующие интерес к текущим событиям в Ливии. Так, один из файлов имел название "Leaked CCTV footage - Saif al-Gaddafi's assassination.gz", отсылающее к убийству Сайфа аль-Каддафи, второго сына бывшего лидера страны, произошедшему в феврале 2026 года. Использование подобных тематических приманок свидетельствует о целенаправленном, а не случайном выборе жертв.

Аналитики обнаружили, что после открытия документа жертва запускала VBS-загрузчик с актуальным именем файла, например, video_saif_gadafi_2026.vbs. Этот скрипт загружал следующий этап вредоносной цепочки - дроппер на PowerShell - с облачного файлообменного сервиса Kraken Files. Дроппер, в свою очередь, создавал в системе планировщик задач Windows с названием 'devil' для обеспечения постоянного присутствия (persistence) и выполнял финальную полезную нагрузку (payload).

Использование публичного бэкдора AsyncRAT

Финальным звеном атаки стал бэкдор AsyncRAT - публично доступное средство удалённого доступа (Remote Access Trojan, RAT). Этот инструмент обладает широким набором функций для шпионажа: перехват нажатий клавиш (keylogging), захват изображения с экрана и выполнение произвольных команд на удалённой системе. Его модульная архитектура позволяет злоумышленникам легко модифицировать и обновлять функционал. Открытый исходный код AsyncRAT не позволяет однозначно связать его с конкретной группой, так как он исторически использовался как группами, так и операторами программ-вымогателей. Это затрудняет атрибуцию текущей кампании.

Активность злоумышленника в сети нефтяной компании прослеживалась с ноября 2025 года с последующими действиями в декабре и феврале. При этом, данные с платформы VirusTotal позволяют предположить, что кампания могла начаться ещё в апреле 2025 года. Об этом свидетельствует множество файлов с ливийской тематикой в именах, таких как "Audio_Libya_algeria.vbs" или "Libya_Jordan_File.vbs", которые содержат тот же механизм запуска через планировщик задач.

Геополитический контекст и последствия для энергетического сектора

Нападения на ливийские организации наглядно показывают, как киберпреступники используют внутреннюю нестабильность и крупные события в стране для получения доступа к значимым сетям. Ливия переживает период политической турбулентности с 2011 года, что создаёт благоприятную среду для подобных операций. В условиях текущей эскалации в регионе Персидского залива и опасений по поводу глобальных поставок энергоресурсов интерес к нефтедобывающим странам, не вовлечённым напрямую в конфликт, может резко возрасти.

Столкновения в Ормузском проливе, через который проходит около 20% мировой нефти, уже порождают прогнозы о росте цены выше $200 за баррель. Эта нестабильность делает энергетические компании по всему миру потенциальными целями для атак, мотивированных как финансовой выгодой, так и государственными интересами. Злоумышленники будут и дальше эксплуатировать актуальные конфликты и экономические тренды в темах фишинговых писем.

Рекомендации по защите

Организациям, особенно в энергетическом и телекоммуникационном секторах, необходимо повысить осведомлённость о подобных угрозах. Ключевые меры митигации включают усиление фильтрации входящей почты, регулярное обучение сотрудников по распознаванию целевого фишинга, а также строгое ограничение прав на выполнение скриптов (VBS, PowerShell) в корпоративной среде. Мониторинг сетевой активности на предмет аномальных исходящих соединений, особенно к публичным файлообменным сервисам, и создание подозрительных запланированных задач также способен помочь в своевременном обнаружении инцидентов. Данная кампания служит напоминанием, что даже публично доступные инструменты в руках целевого противника могут представлять серьёзную угрозу национальной и экономической безопасности.

SHA256

• 0499152c6dd775491ce099eee4c382a94f72c07031081db164de921effa9664f
• 0f3344e672d1ea6cde382b68b27063ed766fced717e9f5f2e15e6c79ce0737f7
• 12c65ac4e02313ed1aa2d32d56428f0a135b281604d536e5ae6ca08b6b4232c9
• 1d32f451d18c3dc8dbf00cd7df1200f83efa27cbaddeb9b2bed726e6d08ef5b1
• 22a1cf91fbac104e2dd374dd06e93488cfdf216890088ef18318d90f440f00f6
• 3101cc378db2665eb2969b62e28efb9bfd5ca6f9bd3ebc27b422d5a29bfd1b17
• 34ae832427b03df5f8cb90e78b5b174665c19602575b37fc7cad8100978898d2
• 39eade26c5680d20f5a8032a0d3996a29058e52c147e4b49a2072d2dcb353325
• 3ca93362559db4da9d44d614345cbdfdb81d882367af05651bb718e1cc57ab08
• 3d5ada3b035e2adc8de1db24ab9d8e0e828eec1b7601ed9d064b41fa9d026a34
• 43c5d9a267742ee3c6c9bcf3e6f63ec397fbe0233a5d99bdb7dacbfa1a0f69d5
• 5b573743306a2324608fdbd9c5cceba6bd5abfaccd1ea8b94c60f73da279e636
• 85e01e36b7b2b90af79642732a17dd566af0b10a85fd8a4cc85ea11583a0ff00
• 946ae65e508acb4dbf6b29432889511a76636453cc04256230fbce25cef86b6a
• 9843874eb6217a79ba5a51a6a886745169b1a1ad43f7ae12de6e610324e88ab7
• ad4e27fe06fae2325faa2a00be7b41f40aa9c63fe79713597b3330ad7e583ca8
• ad796fc0ac17b58e47dbadd42bf164790c18ac67aade8c6bf2251056ef68138d
• b4a3f2f5091df7174e82283ed59cd557eea2e8ddd7a018dafc5e8151fd683429
• c03120163d9401d66d482899421d9dd68db63d34bac2b32e3090e8ad0b911d83
• c2a2c2b26b235bad31a352e1fd475794167ec79928c52d98bccb3607e932c7b2
• c3eef096073dd0873a821c35dd2e7eaf391863264ab72e1b91f2ca73218c2d04
• cd7e16ca636f6e5cb86cd41561d57620a131a26b53c6e25a36edcbbcb2b5276a
• d884a17046bbefd73f76f88533e1f2da40d5233b15caa48245de65d2c19c50dc
• eb76f0797c27821635992ef23a570fe3a11c848998bc9f7735e968adc6b2f33c
• ece81cdc6fc12a07a984b98df58e34c92998cdd957e1f45cabd925056bb0f92e
• f307f8fa89b9f9eb8c2ae346055dffb80c93f56034aa3abe7a8a25d6e5e680c6
• f8b5a5429fb1da677ab8c09fc95b26e3b3d8bcd27521a56cc835fbf5878dbcd8
• f8d2c5cb898cf92495fdcb7e20f509603e1bdd62ba4b61bd7694a8e33a4c738f