CovalentStealer

„CovalentStealer“ yra kenkėjiškų programų grėsmė, kuri buvo grėsmingų įrankių dalis, panaudota atakuojant JAV organizaciją, veikiančią gynybos pramonės bazės sektoriuje. Grėsmės dalyvių tikslas buvo gauti konfidencialius ir neskelbtinus duomenis iš savo taikinio. Kitos naudingos apkrovos, nukritusios ant pažeistų įrenginių, buvo „Impacket“, atvirojo kodo „Python“ klasių rinkinys, „ HyperBro RAT “ ir „ChinaChopper Web“ apvalkalai.

Kai visiškai vykdoma, „CovalentStealer“ gali identifikuoti užkrėstos sistemos failų dalis, suskirstyti failus į kategorijas ir išfiltruoti pasirinktus duomenis į nuotolinį serverį, kurį valdo jo operatoriai. Grėsmė išsaugo surinktus failus „OneDrive“. „CovalentStealer“ taip pat gali išgauti pagrindinę failų lentelę, susietą su NT failų sistemos tomais. Tačiau grėsmės galimybės apima ne tik duomenų rinkimą. Grėsmės veikėjai taip pat galėtų naudoti „CovalentStealer“, kad užšifruotų arba iššifruotų perduotus duomenis, taip pat apsaugotų bendrą ryšį.

Išsami informacija apie kibernetinę nusikalstamą operaciją buvo atskleista bendrame Kibernetinio saugumo ir infrastruktūros saugumo agentūros (CISA), Federalinio tyrimų biuro (FTB) ir Nacionalinio saugumo agentūros (NSA) patarimuose. Agentūros teigia, kad, jų manymu, grėsmės veikėjai yra APT (Advanced Persistent Threat) grupė, kuri ilgą laiką turėjo prieigą prie aukos vidinės aplinkos.