CovalentStealer

CovalentStealer — це загроза зловмисного програмного забезпечення, яка була частиною загрозливих інструментів, застосованих під час атаки на американську організацію, що працює в секторі оборонно-промислової бази. Метою зловмисників було отримати конфіденційні та конфіденційні дані від своєї цілі. Інші корисні навантаження, скинуті на зламані пристрої, включали Impacket, колекцію класів Python з відкритим кодом, оболонки HyperBro RAT і ChinaChopper Web.

Після повного виконання CovalentStealer може ідентифікувати спільні файли в зараженій системі, класифікувати файли, а потім передавати вибрані дані на віддалений сервер під контролем його операторів. Загроза зберігає зібрані файли в OneDrive. CovalentStealer також може витягти головну таблицю файлів, пов’язану з томами файлової системи NT. Однак можливості загрози виходять за межі збору даних. Зловмисники також можуть використовувати CovalentStealer для шифрування або дешифрування переданих даних, а також для захисту зв’язку.

Подробиці операції кіберзлочинців були розкриті в спільній консультації Агентства кібербезпеки та безпеки інфраструктури (CISA), Федерального бюро розслідувань (ФБР) і Агентства національної безпеки (АНБ). Агентства заявляють, що вважають, що суб’єктами загрози є група APT (Advanced Persistent Threat), яка мала доступ до внутрішнього середовища жертви протягом тривалого часу.