CovalentStealer

CovalentStealer je grožnja zlonamerne programske opreme, ki je bila del orodij za grožnje, uporabljenih v napadu na ameriško organizacijo, ki deluje v sektorju obrambne industrijske baze. Cilj akterjev grožnje je bil pridobiti zaupne in občutljive podatke od svoje tarče. Druge obremenitve, ki so bile odvržene na napravah z vdorom, so vključevale Impacket, odprtokodno zbirko razredov Python, HyperBro RAT in ChinaChopper Web lupine.

Ko je v celoti izveden, lahko CovalentStealer identificira datoteke v skupni rabi v okuženem sistemu, kategorizira datoteke in nato izbrane podatke eksfiltrira na oddaljeni strežnik pod nadzorom svojih operaterjev. Grožnja shrani pridobljene datoteke v OneDrive. CovalentStealer lahko izvleče tudi glavno datotečno tabelo, povezano z nosilci datotečnega sistema NT. Zmožnosti grožnje pa presegajo zbiranje podatkov. Akterji groženj bi lahko uporabili CovalentStealer tudi za šifriranje ali dešifriranje prenesenih podatkov ter za zaščito svoje celotne komunikacije.

Podrobnosti o operaciji kibernetskega kriminala so bile razkrite v skupnem svetovanju Agencije za kibernetsko varnost in varnost infrastrukture (CISA), Zveznega preiskovalnega urada (FBI) in Agencije za nacionalno varnost (NSA). Agencije navajajo, da verjamejo, da so akterji grožnje skupina APT (Advanced Persistent Threat), ki ima dlje časa dostop do notranjega okolja žrtve.