CovalentStealer

CovalentStealer on pahavaraoht, mis oli osa ähvardavatest tööriistadest, mida kasutati rünnakus USA kaitsetööstuse baasi sektoris tegutseva organisatsiooni vastu. Ohuosaliste eesmärk oli saada oma sihtmärgilt konfidentsiaalseid ja tundlikke andmeid. Muud rikutud seadmetele langenud kasulikud koormused hõlmasid Impacket, avatud lähtekoodiga Pythoni klasside kogu, HyperBro RAT ja ChinaChopper Web kestad.

Täielikult käivitatuna saab CovalentStealer tuvastada nakatunud süsteemis olevad failijagamised, kategoriseerida failid ja seejärel eksfiltreerida valitud andmed operaatorite kontrolli all olevasse kaugserverisse. Oht salvestab korjatud failid OneDrive'i. CovalentStealer saab ekstraheerida ka NT-failisüsteemi mahtudega seotud põhifailitabeli. Ohu võimalused ulatuvad aga andmete kogumisest kaugemale. Ohutegurid võiksid kasutada ka CovalentStealeri ülekantud andmete krüpteerimiseks või dekrüpteerimiseks ning oma üldise suhtluse tagamiseks.

Küberkuritegevuse üksikasjad avalikustati küberjulgeoleku ja infrastruktuuri turvaagentuuri (CISA), föderaalse juurdlusbüroo (FBI) ja riikliku julgeolekuagentuuri (NSA) ühinenud nõuannetes. Agentuurid väidavad, et nende arvates on ohustajateks APT (Advanced Persistent Threat) rühm, kellel on olnud juurdepääs ohvri sisekeskkonnale pikka aega.