СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
21 марта
#ИБ

AsyncRAT атакует ливийские организации через целевой фишинг

Кибершпионаж против Ливии: AsyncRAT использовался в кампании, которая длилась несколько месяцев

Недавние атаки на ливийские организации — включая нефтеперерабатывающий завод, телекоммуникационного провайдера и государственное учреждение — указывают на продолжительную, вероятно, спонсируемую государством шпионскую кампанию. По данным отчета, активность злоумышленников фиксировалась с ноября 2025 года по февраль 2026 года и была направлена на скрытое закрепление в целевых сетях.

Что произошло

В центре кампании оказался AsyncRAT — общедоступная trojan для удаленного доступа, которую злоумышленники нередко используют в шпионских сценариях. Инструмент позволяет:

  • регистрировать нажатия клавиш;
  • захватывать экран;
  • удаленно выполнять команды;
  • получать устойчивый контроль над зараженной системой.

По оценке исследователей, первоначальный доступ, вероятнее всего, был получен через targeted phishing — рассылку электронных писем с приманками, привязанными к местной повестке. В частности, злоумышленники использовали документы, связанные с Саифом аль-Каддафи, сыном бывшего ливийского лидера Муаммара Каддафи.

Как работала цепочка атаки

Одна из приманок была оформлена под файл с названием «Утечка видеозаписи с камер видеонаблюдения — Саиф аль-Каддафи assassination.gz». Такой подход повышал правдоподобие атаки и подталкивал получателя к открытию вложения или переходу по вредоносной цепочке.

Далее злоумышленники использовали VBS loader с именем файла, совпадающим с целью атаки. Он загружал PowerShell dropper из cloud file-sharing service, после чего происходило развертывание бэкдора AsyncRAT.

По сути, схема была выстроена так, чтобы:

  • замаскировать вредоносный файл под релевантный документ;
  • обойти первичные проверки безопасности;
  • получить удаленный доступ к внутренней инфраструктуре;
  • сохранить присутствие в сети на длительный срок.

Признаки устойчивого присутствия

Доказательства указывают на то, что злоумышленники впервые проникли в целевые сети в ноябре 2025 года и сохраняли активность в течение нескольких месяцев. Это говорит не о разовой операции, а о persistent threat, рассчитанной на длительное скрытое присутствие и сбор данных.

Такой сценарий особенно характерен для кампаний, где приоритетом является не мгновенный ущерб, а разведка, наблюдение и извлечение чувствительной информации.

Геополитический контекст

Отдельное значение этой кампании придает ее связь с нестабильной региональной обстановкой. В отчете подчеркивается, что атаки вписываются в более широкую тенденцию, при которой напряженность в странах и конфликты используются как фон для киберопераций.

Иными словами, злоумышленники адаптируют приманки под текущие политические и общественные события, чтобы повысить вероятность успешного phishing. Такая гибкость делает кампании особенно опасными: они выглядят убедительно именно в тот момент, когда аудитория наиболее уязвима к информационным поводам.

Почему это важно для организаций

Кампания затронула не только нефтяной сектор, но и телекоммуникации, а также государственные структуры. Это показывает, что риски выходят далеко за рамки одной отрасли. Под угрозой могут оказаться любые организации, связанные с:

  • энергетической инфраструктурой;
  • государственным управлением;
  • телекоммуникациями;
  • цепочками поставок и подрядными сетями.

Для специалистов по Cybersecurity этот инцидент служит напоминанием о том, что атаки становятся все более контекстными и адресными. Использование локальных тем, поддельных документов и многоступенчатых загрузчиков делает такие операции значительно сложнее для обнаружения.

Организациям, работающим в сфере нефтедобычи или смежных отраслях, необходимо сохранять повышенную бдительность: именно стратегическая ценность этих сегментов делает их приоритетной целью для кибершпионажа.

В условиях, когда глобальные экономические интересы тесно связаны с нефтяными и энергетическими сетями, подобные кампании становятся не только вопросом технической безопасности, но и фактором национальной и региональной устойчивости.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: