CovalentStealer

CovalentStealer je malvérová hrozba, ktorá bola súčasťou hrozivých nástrojov nasadených pri útoku proti americkej organizácii pôsobiacej v sektore obrannej priemyselnej základne. Cieľom aktérov hrozby bolo získať od svojho cieľa dôverné a citlivé údaje. Medzi ďalšie užitočné zaťaženia, ktoré klesli na narušené zariadenia, patrili Impacket, open-source kolekcia tried Python, webové shelly HyperBro RAT a ChinaChopper.

Po úplnom spustení môže CovalentStealer identifikovať zdieľané súbory na infikovanom systéme, kategorizovať súbory a potom exfiltrovať vybrané údaje na vzdialený server pod kontrolou jeho operátorov. Hrozba ukladá zozbierané súbory na OneDrive. CovalentStealer môže tiež extrahovať hlavnú tabuľku súborov spojenú so zväzkami systému súborov NT. Možnosti hrozby však presahujú rámec zberu údajov. Aktéri hrozieb by tiež mohli využiť CovalentStealer na šifrovanie alebo dešifrovanie prenášaných údajov, ako aj na zabezpečenie ich celkovej komunikácie.

Podrobnosti o kyberzločineckej operácii odhalilo spoločné poradenstvo Agentúry pre kybernetickú bezpečnosť a bezpečnosť (CISA), Federálneho úradu pre vyšetrovanie (FBI) a Národnej bezpečnostnej agentúry (NSA). Agentúry uvádzajú, že sa domnievajú, že aktérmi hrozby sú skupina APT (Advanced Persistent Threat), ktorá má dlhší čas prístup do vnútorného prostredia obete.