CovalentStealer

CovalentStealer, Savunma Sanayi Üssü sektöründe faaliyet gösteren bir ABD kuruluşuna yönelik bir saldırıda kullanılan tehdit edici araçların bir parçası olan bir kötü amaçlı yazılım tehdididir. Tehdit aktörlerinin amacı, hedeflerinden gizli ve hassas veriler elde etmekti. İhlal edilen cihazlara düşen diğer yükler, açık kaynaklı bir Python sınıfları koleksiyonu olan Impacket, HyperBro RAT ve ChinaChopper Web kabuklarını içeriyordu.

Tam olarak yürütüldüğünde, CovalentStealer virüslü sistemdeki dosya paylaşımlarını tanımlayabilir, dosyaları kategorilere ayırabilir ve ardından seçilen verileri operatörlerinin kontrolü altında uzak bir sunucuya aktarabilir. Tehdit, toplanan dosyaları OneDrive'da depolar. CovalentStealer ayrıca NT Dosya Sistemi birimleriyle ilişkili Ana Dosya Tablosunu da çıkarabilir. Yine de tehdidin yetenekleri veri toplamanın ötesine geçiyor. Tehdit aktörleri ayrıca aktarılan verileri şifrelemek veya şifresini çözmek ve genel iletişimlerini güvence altına almak için CovalentStealer'ı kullanabilir.

Siber suç operasyonuyla ilgili ayrıntılar, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Soruşturma Bürosu (FBI) ve Ulusal Güvenlik Ajansı (NSA) tarafından ortaklaşa hazırlanan bir danışma belgesinde açıklandı. Kurumlar, tehdit aktörlerinin uzun süredir mağdurun iç ortamına erişimi olan bir APT (Gelişmiş Kalıcı Tehdit) grubu olduğuna inandıklarını belirtiyor.