CovalentStealer

CovalentStealer este o amenințare malware care a făcut parte din instrumentele de amenințare desfășurate într-un atac împotriva unei organizații americane care operează în sectorul Bazei industriale de apărare. Scopul actorilor amenințărilor a fost să obțină date confidențiale și sensibile de la ținta lor. Celelalte încărcături utile aruncate pe dispozitivele încălcate au inclus Impacket, o colecție open-source de clase Python, shell-urile Web HyperBro RAT și ChinaChopper.

Când este executat complet, CovalentStealer poate identifica fișierele partajate pe sistemul infectat, poate clasifica fișierele și apoi poate exfiltra datele alese pe un server la distanță sub controlul operatorilor săi. Amenințarea stochează fișierele recoltate pe OneDrive. De asemenea, CovalentStealer poate extrage Tabelul Master File asociat cu volumele NT File System. Cu toate acestea, capabilitățile amenințării se extind dincolo de colectarea datelor. Actorii amenințărilor ar putea utiliza, de asemenea, CovalentStealer pentru a cripta sau decripta datele transferate, precum și pentru a securiza comunicarea lor generală.

Detalii despre operațiunea criminală cibernetică au fost dezvăluite într-un aviz de aderare al Agenției pentru Securitate Cibernetică și Securitate a Infrastructurii (CISA), Biroul Federal de Investigații (FBI) și Agenția Națională de Securitate (NSA). Agențiile declară că consideră că actorii amenințărilor sunt un grup APT (Advanced Persistent Threat), care a avut acces la mediul intern al victimei pentru o perioadă lungă de timp.