CovalentStealer

CovalentStealer — это угроза вредоносного ПО, которая была частью угрожающих инструментов, развернутых при атаке на американскую организацию, работающую в секторе оборонно-промышленной базы. Цель злоумышленников состояла в том, чтобы получить конфиденциальные и конфиденциальные данные от своей цели. Другие полезные нагрузки, сброшенные на взломанные устройства, включали Impacket, набор классов Python с открытым исходным кодом, веб-оболочки HyperBro RAT и ChinaChopper.

После полного запуска CovalentStealer может идентифицировать общие файловые ресурсы в зараженной системе, классифицировать файлы, а затем эксфильтровать выбранные данные на удаленный сервер под контролем его операторов. Угроза хранит собранные файлы в OneDrive. CovalentStealer также может извлекать основную таблицу файлов, связанную с томами файловой системы NT. Однако возможности угрозы выходят за рамки сбора данных. Злоумышленники также могут использовать CovalentStealer для шифрования или расшифровки передаваемых данных, а также для обеспечения безопасности обмена данными в целом.

Подробности о киберпреступной операции были раскрыты в совместном бюллетене Агентства кибербезопасности и безопасности инфраструктуры (CISA), Федерального бюро расследований (ФБР) и Агентства национальной безопасности (АНБ). Агентства заявляют, что, по их мнению, злоумышленники являются группой APT (Advanced Persistent Threat), которая имеет доступ к внутренней среде жертвы в течение длительного времени.