CovalentStealer

CovalentStealer is een malwarebedreiging die deel uitmaakte van de bedreigende tools die werden ingezet bij een aanval op een Amerikaanse organisatie die actief is in de Defense Industrial Base-sector. Het doel van de dreigingsactoren was om vertrouwelijke en gevoelige gegevens van hun doelwit te verkrijgen. De andere payloads die op de gehackte apparaten vielen, waren Impacket, een open-source verzameling Python-klassen, de HyperBro RAT en ChinaChopper Web-shells.

Als het volledig is uitgevoerd, kan CovalentStealer bestandsshares op het geïnfecteerde systeem identificeren, de bestanden categoriseren en de gekozen gegevens vervolgens exfiltreren naar een externe server onder controle van de operators. De dreiging slaat de geoogste bestanden op OneDrive op. CovalentStealer kan ook de hoofdbestandstabel extraheren die is gekoppeld aan NT-bestandssysteemvolumes. De mogelijkheden van de dreiging gaan echter verder dan het verzamelen van gegevens. De bedreigingsactoren zouden CovalentStealer ook kunnen gebruiken om de overgedragen gegevens te versleutelen of te ontsleutelen, evenals hun algemene communicatie te beveiligen.

Details over de cybercriminele operatie werden onthuld in een gezamenlijk advies van de Cybersecurity and Infrastructure Security Agency (CISA), het Federal Bureau of Investigation (FBI) en de National Security Agency (NSA). De agentschappen stellen dat ze denken dat de dreigingsactoren een APT-groep (Advanced Persistent Threat) zijn, die al langere tijd toegang heeft tot de interne omgeving van het slachtoffer.