CovalentStealer

CovalentStealer ir ļaunprātīgas programmatūras draudi, kas bija daļa no draudošajiem rīkiem, kas tika izvietoti uzbrukumā ASV organizācijai, kas darbojas aizsardzības industriālās bāzes sektorā. Apdraudējušo dalībnieku mērķis bija iegūt konfidenciālus un sensitīvus datus no sava mērķa. Citas lietderīgās slodzes, kas tika nomestas uz bojātajām ierīcēm, ietvēra Impacket, Python klašu atvērtā koda kolekciju, HyperBro RAT un ChinaChopper Web čaulas.

Kad CovalentStealer ir pilnībā izpildīts, tas var identificēt inficētās sistēmas failu koplietojumus, klasificēt failus un pēc tam izfiltrēt izvēlētos datus uz attālo serveri, ko kontrolē tā operatori. Draudi ievāktos failus saglabā OneDrive. CovalentStealer var arī iegūt galveno failu tabulu, kas saistīta ar NT failu sistēmas apjomiem. Tomēr apdraudējuma iespējas pārsniedz datu vākšanu. Apdraudējuma dalībnieki varētu arī izmantot CovalentStealer, lai šifrētu vai atšifrētu pārsūtītos datus, kā arī nodrošinātu savu vispārējo saziņu.

Sīkāka informācija par kibernoziedznieku operāciju tika atklāta Kiberdrošības un infrastruktūras drošības aģentūras (CISA), Federālā izmeklēšanas biroja (FIB) un Nacionālās drošības aģentūras (NSA) kopīgajā ieteikumā. Aģentūras norāda, ka, viņuprāt, draudu dalībnieki ir APT (Advanced Persistent Threat) grupa, kurai jau ilgāku laiku ir bijusi piekļuve upura iekšējai videi.