CovalentStealer

CovalentStealer je prijetnja od zlonamjernog softvera koja je bila dio prijetećih alata primijenjenih u napadu na američku organizaciju koja djeluje u sektoru obrambene industrijske baze. Cilj aktera prijetnje bio je dobiti povjerljive i osjetljive podatke od svoje mete. Ostali učinci ispušteni na probijene uređaje uključivali su Impacket, kolekciju Python klasa otvorenog koda, HyperBro RAT i ChinaChopper Web ljuske.

Kada se u potpunosti izvrši, CovalentStealer može identificirati dijeljene datoteke na zaraženom sustavu, kategorizirati datoteke i zatim eksfiltrirati odabrane podatke na udaljeni poslužitelj pod kontrolom svojih operatera. Prijetnja pohranjuje prikupljene datoteke na OneDrive. CovalentStealer također može izdvojiti glavnu tablicu datoteka povezanu s jedinicama NT datotečnog sustava. Mogućnosti prijetnje ipak nadilaze prikupljanje podataka. Akteri prijetnji također mogu koristiti CovalentStealer za šifriranje ili dešifriranje prenesenih podataka, kao i za osiguranje ukupne komunikacije.

Pojedinosti o operaciji kibernetičkog kriminala otkrivene su u zajedničkom savjetovanju Agencije za kibernetičku sigurnost i sigurnost infrastrukture (CISA), Federalnog istražnog ureda (FBI) i Agencije za nacionalnu sigurnost (NSA). Agencije navode da vjeruju da su akteri prijetnje APT (Advanced Persistent Threat) grupa koja ima pristup unutarnjem okruženju žrtve dulje vrijeme.