CovalentStealer

CovalentStealer è una minaccia malware che faceva parte degli strumenti di minaccia implementati in un attacco contro un'organizzazione statunitense operante nel settore della base industriale della difesa. L'obiettivo degli attori delle minacce era ottenere dati riservati e sensibili dal loro obiettivo. Gli altri payload rilasciati sui dispositivi violati includevano Impacket, una raccolta open source di classi Python, HyperBro RAT e le shell Web ChinaChopper.

Quando viene eseguito completamente, CovalentStealer può identificare le condivisioni di file sul sistema infetto, classificare i file e quindi esfiltrare i dati scelti su un server remoto sotto il controllo dei suoi operatori. La minaccia archivia i file raccolti su OneDrive. CovalentStealer può anche estrarre la Master File Table associata ai volumi NT File System. Tuttavia, le capacità della minaccia si estendono oltre la raccolta di dati. Gli attori delle minacce potrebbero anche utilizzare CovalentStealer per crittografare o decrittografare i dati trasferiti, oltre a proteggere la loro comunicazione generale.

I dettagli sull'operazione criminale informatica sono stati rivelati in un avviso congiunto della Cybersecurity and Infrastructure Security Agency (CISA), del Federal Bureau of Investigation (FBI) e della National Security Agency (NSA). Le agenzie affermano di ritenere che gli attori della minaccia siano un gruppo APT (Advanced Persistent Threat), che ha avuto accesso all'ambiente interno della vittima per un periodo di tempo prolungato.