CovalentStealer

Το CovalentStealer είναι μια απειλή κακόβουλου λογισμικού που ήταν μέρος των απειλητικών εργαλείων που αναπτύχθηκαν σε μια επίθεση εναντίον ενός αμερικανικού οργανισμού που δραστηριοποιείται στον τομέα της αμυντικής βιομηχανικής βάσης. Ο στόχος των παραγόντων απειλής ήταν να αποκτήσουν εμπιστευτικά και ευαίσθητα δεδομένα από τον στόχο τους. Τα άλλα ωφέλιμα φορτία που έπεσαν στις συσκευές που παραβιάστηκαν περιελάμβαναν το Impacket, μια συλλογή ανοιχτού κώδικα κλάσεων Python, τα κελύφη HyperBro RAT και ChinaChopper Web.

Όταν εκτελεστεί πλήρως, το CovalentStealer μπορεί να αναγνωρίσει κοινόχρηστα αρχεία στο μολυσμένο σύστημα, να κατηγοριοποιήσει τα αρχεία και, στη συνέχεια, να διευρύνει τα επιλεγμένα δεδομένα σε έναν απομακρυσμένο διακομιστή υπό τον έλεγχο των χειριστών του. Η απειλή αποθηκεύει τα αρχεία που έχουν συλλεχθεί στο OneDrive. Το CovalentStealer μπορεί επίσης να εξαγάγει τον κύριο πίνακα αρχείων που σχετίζεται με τόμους συστήματος αρχείων NT. Ωστόσο, οι δυνατότητες της απειλής εκτείνονται πέρα από τη συλλογή δεδομένων. Οι φορείς απειλών θα μπορούσαν επίσης να χρησιμοποιήσουν το CovalentStealer για να κρυπτογραφήσουν ή να αποκρυπτογραφήσουν τα μεταφερόμενα δεδομένα, καθώς και να εξασφαλίσουν τη συνολική τους επικοινωνία.

Λεπτομέρειες σχετικά με την κυβερνοεγκληματική επιχείρηση αποκαλύφθηκαν σε μια συμβουλευτική συμβουλευτική από την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA), το Ομοσπονδιακό Γραφείο Ερευνών (FBI) και την Υπηρεσία Εθνικής Ασφάλειας (NSA). Οι υπηρεσίες δηλώνουν ότι πιστεύουν ότι οι παράγοντες της απειλής είναι μια ομάδα APT (Advanced Persistent Threat), η οποία είχε πρόσβαση στο εσωτερικό περιβάλλον του θύματος για μεγάλο χρονικό διάστημα.