CovalentStealer

CovalentStealer är ett hot mot skadlig programvara som var en del av de hotfulla verktygen som användes i en attack mot en amerikansk organisation som är verksam inom försvarsindustribassektorn. Målet för hotaktörerna var att få konfidentiell och känslig information från sitt mål. De andra nyttolasterna som släpptes på de brutna enheterna inkluderade Impacket, en öppen källkodsamling av Python-klasser, HyperBro RAT och ChinaChopper Web-skal.

När det är helt kört kan CovalentStealer identifiera filresurser på det infekterade systemet, kategorisera filerna och sedan exfiltrera den valda data till en fjärrserver under kontroll av dess operatörer. Hotet lagrar de skördade filerna på OneDrive. CovalentStealer kan också extrahera Master File Table associerad med NT File System-volymer. Hotets möjligheter sträcker sig dock bortom insamling av data. Hotaktörerna kan också använda CovalentStealer för att kryptera eller dekryptera överförd data, samt säkra deras övergripande kommunikation.

Detaljer om den cyberkriminella operationen avslöjades i en anslutningsrådgivning från Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI) och National Security Agency (NSA). Myndigheterna uppger att de tror att hotaktörerna är en APT-grupp (Advanced Persistent Threat), som har haft tillgång till offrets interna miljö under en längre tid.