CovalentStealer

CovalentStealer là một mối đe dọa phần mềm độc hại là một phần của các công cụ đe dọa được triển khai trong một cuộc tấn công chống lại một tổ chức của Hoa Kỳ hoạt động trong lĩnh vực Cơ sở Công nghiệp Quốc phòng. Mục tiêu của các tác nhân đe dọa là có được dữ liệu bí mật và nhạy cảm từ mục tiêu của họ. Các tải trọng khác đã giảm trên các thiết bị vi phạm bao gồm Impacket, một bộ sưu tập mã nguồn mở của các lớp Python, HyperBro RAT và ChinaChopper Web shell.

Khi được thực thi đầy đủ, CovalentStealer có thể xác định chia sẻ tệp trên hệ thống bị nhiễm, phân loại tệp và sau đó tách dữ liệu đã chọn đến một máy chủ từ xa dưới sự kiểm soát của người điều hành. Mối đe dọa lưu trữ các tệp đã thu hoạch trên OneDrive. CovalentStealer cũng có thể trích xuất Bảng Tệp Chính được liên kết với khối lượng Hệ thống Tệp NT. Tuy nhiên, khả năng của mối đe dọa còn vượt ra ngoài việc thu thập dữ liệu. Các tác nhân đe dọa cũng có thể sử dụng CovalentStealer để mã hóa hoặc giải mã dữ liệu được truyền, cũng như bảo mật thông tin liên lạc tổng thể của chúng.

Thông tin chi tiết về hoạt động của tội phạm mạng đã được tiết lộ trong một cuộc tư vấn tham gia của Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA), Cục Điều tra Liên bang (FBI) và Cơ quan An ninh Quốc gia (NSA). Các cơ quan tuyên bố rằng họ tin rằng các tác nhân đe dọa là một nhóm APT (Mối đe dọa liên tục nâng cao), đã có quyền truy cập vào môi trường bên trong của nạn nhân trong một thời gian dài.