CovalentStealer

Ang CovalentStealer ay isang banta ng malware na bahagi ng mga tool na nagbabantang na-deploy sa isang pag-atake laban sa isang organisasyon ng US na tumatakbo sa sektor ng Defense Industrial Base. Ang layunin ng mga aktor ng pagbabanta ay makakuha ng kumpidensyal at sensitibong data mula sa kanilang target. Ang iba pang mga payload na ibinaba sa mga nalabag na device ay kasama ang Impacket, isang open-source na koleksyon ng mga klase ng Python, ang HyperBro RAT at ChinaChopper Web shell.

Kapag ganap na naisakatuparan, maaaring matukoy ng CovalentStealer ang mga pagbabahagi ng file sa nahawaang sistema, ikategorya ang mga file, at pagkatapos ay i-exfiltrate ang napiling data sa isang malayong server sa ilalim ng kontrol ng mga operator nito. Iniimbak ng banta ang mga na-harvest na file sa OneDrive. Maaari ding kunin ng CovalentStealer ang Master File Table na nauugnay sa mga volume ng NT File System. Gayunpaman, ang mga kakayahan ng banta ay lumampas sa pagkolekta ng data. Magagamit din ng mga banta ng aktor ang CovalentStealer upang i-encrypt o i-decrypt ang inilipat na data, pati na rin i-secure ang kanilang pangkalahatang komunikasyon.

Ang mga detalye tungkol sa operasyon ng cybercriminal ay inihayag sa isang advisory ng pagsali ng Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI) at National Security Agency (NSA). Sinasabi ng mga ahensya na naniniwala sila na ang mga aktor ng pagbabanta ay isang grupo ng APT (Advanced Persistent Threat), na may access sa panloob na kapaligiran ng biktima sa loob ng mahabang panahon.