CovalentStealer

CovalentStealer on haittaohjelmauhka, joka oli osa uhkaavia työkaluja, jotka käytettiin hyökkäyksessä puolustusteollisuussektorilla toimivaa yhdysvaltalaista organisaatiota vastaan. Uhkatoimijoiden tavoitteena oli saada kohteltaan luottamuksellisia ja arkaluonteisia tietoja. Muita rikkoutuneille laitteille pudonneita kuormia olivat Impacket, avoimen lähdekoodin Python-luokkien kokoelma, HyperBro RAT ja ChinaChopper Web -kuoret.

Täysin suoritettuna CovalentStealer voi tunnistaa tartunnan saaneen järjestelmän tiedostoosuudet, luokitella tiedostot ja sitten suodattaa valitut tiedot etäpalvelimelle operaattoreidensa hallinnassa. Uhka tallentaa kerätyt tiedostot OneDriveen. CovalentStealer voi myös purkaa NT-tiedostojärjestelmän taltioihin liittyvän päätiedostotaulukon. Uhan mahdollisuudet ulottuvat kuitenkin tiedonkeruun ulkopuolelle. Uhkatoimijat voivat myös käyttää CovalentStealeriä siirrettyjen tietojen salaamiseen tai salauksen purkamiseen sekä yleisen viestinnän turvaamiseen.

Yksityiskohdat kyberrikollisesta operaatiosta paljastettiin Cybersecurity and Infrastructure Security Agencyn (CISA), Federal Bureau of Investigation (FBI) ja National Security Agencyn (NSA) yhteisessä neuvonnassa. Viranomaiset kertovat uskovansa uhkatoimijoiksi APT-ryhmää (Advanced Persistent Threat), jolla on ollut pääsy uhrin sisäiseen ympäristöön pitkään.