CovalentStealer

CovalentStealer to złośliwe oprogramowanie, które było częścią groźnych narzędzi wdrożonych w ataku na amerykańską organizację działającą w sektorze Defense Industrial Base. Celem cyberprzestępców było uzyskanie poufnych i wrażliwych danych od celu. Inne ładunki umieszczone na złamanych urządzeniach to Imppacket, zbiór klas Pythona o otwartym kodzie źródłowym, powłoki HyperBro RAT i ChinaChopper Web.

Po pełnym uruchomieniu CovalentStealer może identyfikować udziały plików w zainfekowanym systemie, kategoryzować pliki, a następnie eksportować wybrane dane na zdalny serwer pod kontrolą jego operatorów. Zagrożenie przechowuje przechwycone pliki na OneDrive. CovalentStealer może również wyodrębnić główną tabelę plików powiązaną z woluminami systemu plików NT. Możliwości zagrożenia wykraczają jednak poza zbieranie danych. Zagrożenia mogą również wykorzystać CovalentStealer do szyfrowania lub odszyfrowywania przesyłanych danych, a także do zabezpieczania ogólnej komunikacji.

Szczegóły dotyczące operacji cyberprzestępczej zostały ujawnione we wspólnym zaleceniu Agencji Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA), Federalnego Biura Śledczego (FBI) i Narodowej Agencji Bezpieczeństwa (NSA). Agencje twierdzą, że uważają, że cyberprzestępcy to grupa APT (Advanced Persistent Threat), która od dłuższego czasu ma dostęp do wewnętrznego środowiska ofiary.