CovalentStealer

CovalentStealer je malwarová hrozba, která byla součástí hrozivých nástrojů nasazených při útoku proti americké organizaci působící v sektoru obranné průmyslové základny. Cílem aktérů hrozby bylo získat od svého cíle důvěrná a citlivá data. Mezi další užitečné zátěže, které byly staženy na narušená zařízení, patřil Impacket, open-source kolekce tříd Python, HyperBro RAT a webové shelly ChinaChopper.

Po úplném spuštění může CovalentStealer identifikovat sdílené soubory na infikovaném systému, kategorizovat soubory a poté exfiltrovat vybraná data na vzdálený server pod kontrolou jeho operátorů. Hrozba ukládá sklizené soubory na OneDrive. CovalentStealer také může extrahovat hlavní tabulku souborů spojenou se svazky systému souborů NT. Schopnosti hrozby však přesahují sběr dat. Aktéři hrozeb by také mohli využít CovalentStealer k šifrování nebo dešifrování přenášených dat a také k zabezpečení jejich celkové komunikace.

Podrobnosti o kyberzločinecké operaci byly odhaleny ve společném doporučení Agentury pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA), Federálního úřadu pro vyšetřování (FBI) a Národní bezpečnostní agentury (NSA). Agentury uvádějí, že se domnívají, že aktéry hrozeb jsou skupina APT (Advanced Persistent Threat), která má delší dobu přístup do vnitřního prostředí oběti.