CovalentStealer

CovalentStealer er en trussel mot skadelig programvare som var en del av de truende verktøyene som ble utplassert i et angrep mot en amerikansk organisasjon som opererer i forsvarsindustribasesektoren. Målet til trusselaktørene var å innhente konfidensielle og sensitive data fra deres mål. De andre nyttelastene som ble falt på de brutte enhetene inkluderer Impacket, en åpen kildekodesamling av Python-klasser, HyperBro RAT og ChinaChopper Web-skallene.

Når den er fullstendig utført, kan CovalentStealer identifisere fildelinger på det infiserte systemet, kategorisere filene og deretter eksfiltrere de valgte dataene til en ekstern server under kontroll av operatørene. Trusselen lagrer de innhentede filene på OneDrive. CovalentStealer kan også trekke ut hovedfiltabellen knyttet til NT-filsystemvolumer. Mulighetene til trusselen strekker seg imidlertid utover innsamling av data. Trusselaktørene kan også bruke CovalentStealer til å kryptere eller dekryptere de overførte dataene, samt sikre deres generelle kommunikasjon.

Detaljer om den nettkriminelle operasjonen ble avslørt i en sammenslåingsrådgivning fra Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI) og National Security Agency (NSA). Etatene opplyser at de mener trusselaktørene er en APT-gruppe (Advanced Persistent Threat), som har hatt tilgang til offerets indre miljø i lengre tid.