CovalentStealer
CovalentStealer는 방위 산업 기지 부문에서 활동하는 미국 조직에 대한 공격에 배포된 위협 도구의 일부인 맬웨어 위협입니다. 위협 행위자의 목표는 표적으로부터 기밀 및 민감한 데이터를 얻는 것이었습니다. 침해된 장치에 떨어진 다른 페이로드에는 Python 클래스의 오픈 소스 컬렉션인 Imppacket, HyperBro RAT 및 ChinaChopper 웹 셸이 포함되었습니다.
CovalentStealer가 완전히 실행되면 감염된 시스템의 파일 공유를 식별하고 파일을 분류한 다음 운영자의 제어 하에 선택된 데이터를 원격 서버로 유출할 수 있습니다. 위협 요소는 수집된 파일을 OneDrive에 저장합니다. CovalentStealer는 NT 파일 시스템 볼륨과 관련된 마스터 파일 테이블도 추출할 수 있습니다. 그러나 위협의 기능은 데이터 수집을 넘어 확장됩니다. 또한 위협 행위자는 CovalentStealer를 활용하여 전송된 데이터를 암호화하거나 해독하고 전체 통신을 보호할 수 있습니다.
사이버 범죄 활동에 대한 자세한 내용은 CISA(Cybersecurity and Infrastructure Security Agency), FBI(Federal Bureau of Investigation) 및 NSA(National Security Agency)의 합동 권고에서 공개되었습니다. 기관은 공격자가 장기간 피해자의 내부 환경에 접근한 APT(Advanced Persistent Threat) 그룹으로 보고 있다고 밝혔습니다.
