CovalentStealer

ЦовалентСтеалер је претња од малвера која је била део претећих алата коришћених у нападу на америчку организацију која ради у сектору одбрамбене индустријске базе. Циљ актера претњи био је да добију поверљиве и осетљиве податке од своје мете. Други корисни терети који су испуштени на пробијене уређаје укључују Имппацкет, колекцију Питхон класа отвореног кода, ХиперБро РАТ и ЦхинаЦхоппер веб шкољке.

Када се у потпуности изврши, ЦовалентСтеалер може идентификовати дељене фајлове на зараженом систему, категоризовати датотеке, а затим ексфилтрирати изабране податке на удаљени сервер под контролом својих оператера. Претња чува прикупљене датотеке на ОнеДриве. ЦовалентСтеалер такође може да издвоји главну табелу датотека која је повезана са волуменима НТ система датотека. Међутим, могућности претње превазилазе прикупљање података. Актери претњи такође могу да користе ЦовалентСтеалер за шифровање или дешифровање пренетих података, као и да обезбеде њихову укупну комуникацију.

Детаљи о операцији сајбер криминала откривени су у заједничком саветовању Агенције за сајбер безбедност и безбедност инфраструктуре (ЦИСА), Федералног истражног бироа (ФБИ) и Агенције за националну безбедност (НСА). Агенције наводе да верују да су актери претњи АПТ (Адванцед Персистент Тхреат) група, која је имала приступ унутрашњем окружењу жртве дуже време.