CovalentStealer

A CovalentStealer egy rosszindulatú program, amely a Defense Industrial Base szektorban működő egyesült államokbeli szervezet elleni támadás során bevetett fenyegető eszközök része volt. A fenyegetés szereplőinek célja az volt, hogy bizalmas és érzékeny adatokat szerezzenek meg célpontjuktól. A feltört eszközökre esett egyéb hasznos terhelések közé tartozik az Impacket, a Python osztályok nyílt forráskódú gyűjteménye, a HyperBro RAT és a ChinaChopper Web shell.

Amikor teljesen lefutott, a CovalentStealer azonosítani tudja a fertőzött rendszer fájlmegosztásait, kategorizálja a fájlokat, majd kiszűri a kiválasztott adatokat egy távoli szerverre az üzemeltetői felügyelete alatt. A fenyegetés a begyűjtött fájlokat a OneDrive-on tárolja. A CovalentStealer az NT fájlrendszer-kötetekhez társított főfájltáblázatot is ki tudja bontani. A fenyegetés lehetőségei azonban túlmutatnak az adatgyűjtésen. A fenyegetés szereplői a CovalentStealer segítségével titkosíthatják vagy visszafejthetik az átvitt adatokat, valamint biztosíthatják általános kommunikációjukat.

A kiberbűnözői akció részleteit a Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA), a Szövetségi Nyomozó Iroda (FBI) és a Nemzetbiztonsági Ügynökség (NSA) csatlakozott tanácsa tárta fel. Az ügynökségek azt állítják, hogy a fenyegetés szereplőit egy APT (Advanced Persistent Threat) csoportnak tekintik, amely hosszabb ideig hozzáfért az áldozat belső környezetéhez.