CovalentStealer

CovalentStealer เป็นภัยคุกคามมัลแวร์ที่เป็นส่วนหนึ่งของเครื่องมือคุกคามที่ใช้ในการโจมตีองค์กรของสหรัฐฯ ที่ปฏิบัติการในภาคส่วนฐานอุตสาหกรรมกลาโหม เป้าหมายของผู้คุกคามคือการได้รับข้อมูลที่เป็นความลับและละเอียดอ่อนจากเป้าหมายของพวกเขา เพย์โหลดอื่นๆ ที่ลดลงบนอุปกรณ์ที่ถูกเจาะ ได้แก่ Impacket, คอลเลกชั่นโอเพนซอร์ซของคลาส Python, HyperBro RAT และเว็บเชลล์ของ ChinaChopper

เมื่อดำเนินการอย่างสมบูรณ์ CovalentStealer สามารถระบุการแชร์ไฟล์บนระบบที่ติดไวรัส จัดหมวดหมู่ไฟล์ แล้วกรองข้อมูลที่เลือกไปยังเซิร์ฟเวอร์ระยะไกลภายใต้การควบคุมของผู้ปฏิบัติงาน ภัยคุกคามจะจัดเก็บไฟล์ที่เก็บเกี่ยวบน OneDrive CovalentStealer ยังสามารถแยกตารางไฟล์หลักที่เชื่อมโยงกับโวลุ่มระบบไฟล์ NT ความสามารถของภัยคุกคามนั้นขยายเกินกว่าการรวบรวมข้อมูล ผู้คุกคามยังสามารถใช้ CovalentStealer เพื่อเข้ารหัสหรือถอดรหัสข้อมูลที่ถ่ายโอน รวมทั้งรักษาความปลอดภัยในการสื่อสารโดยรวม

รายละเอียดเกี่ยวกับการดำเนินการของอาชญากรไซเบอร์ถูกเปิดเผยในคำแนะนำที่เข้าร่วมโดย Cybersecurity and Infrastructure Security Agency (CISA) สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) และ National Security Agency (NSA) หน่วยงานระบุว่าพวกเขาเชื่อว่าผู้คุกคามเป็นกลุ่ม APT (Advanced Persistent Threat) ที่สามารถเข้าถึงสภาพแวดล้อมภายในของเหยื่อได้เป็นเวลานาน