CovalentStealer

CovalentStealer е заплаха от злонамерен софтуер, която беше част от заплашващите инструменти, използвани при атака срещу американска организация, работеща в сектора на отбранителната индустриална база. Целта на участниците в заплахата беше да получат поверителни и чувствителни данни от своята цел. Другите полезни товари, пуснати на пробитите устройства, включват Impacket, колекция с отворен код от класове на Python, HyperBro RAT и ChinaChopper Web shell.

Когато се изпълни напълно, CovalentStealer може да идентифицира споделени файлове в заразената система, да категоризира файловете и след това да ексфилтрира избраните данни към отдалечен сървър под контрола на неговите оператори. Заплахата съхранява събраните файлове в OneDrive. CovalentStealer също така може да извлече Главната файлова таблица, свързана с томовете на NT файловата система. Възможностите на заплахата обаче надхвърлят събирането на данни. Актьорите на заплахите също могат да използват CovalentStealer за криптиране или дешифриране на прехвърлените данни, както и за защита на цялостната им комуникация.

Подробности за киберпрестъпната операция бяха разкрити в съвместен съвет от Агенцията за киберсигурност и сигурност на инфраструктурата (CISA), Федералното бюро за разследване (ФБР) и Агенцията за национална сигурност (NSA). Агенциите заявяват, че смятат, че участниците в заплахата са APT (Advanced Persistent Threat) група, която е имала достъп до вътрешната среда на жертвата за продължително време.