CovalentStealer

CovalentStealer er en malware-trussel, der var en del af de truende værktøjer, der blev indsat i et angreb mod en amerikansk organisation, der opererer i forsvarsindustribasesektoren. Målet for trusselsaktørerne var at indhente fortrolige og følsomme data fra deres mål. De andre nyttelaster, der faldt på de brudte enheder, omfattede Impacket, en open source-samling af Python-klasser, HyperBro RAT og ChinaChopper Web-skaller.

Når den er fuldført, kan CovalentStealer identificere fildelinger på det inficerede system, kategorisere filerne og derefter eksfiltrere de valgte data til en fjernserver under kontrol af dens operatører. Truslen gemmer de indsamlede filer på OneDrive. CovalentStealer kan også udtrække masterfiltabellen, der er forbundet med NT-filsystemvolumener. Truslens muligheder strækker sig dog ud over indsamlingen af data. Trusselsaktørerne kunne også bruge CovalentStealer til at kryptere eller dekryptere de overførte data, samt sikre deres overordnede kommunikation.

Detaljer om den cyberkriminelle operation blev afsløret i en tilslutningsrådgivning fra Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI) og National Security Agency (NSA). Agenturerne oplyser, at de mener, at trusselsaktørerne er en APT-gruppe (Advanced Persistent Threat), som har haft adgang til ofrets indre miljø i længere tid.