CovalentStealer

CovalentStealer ist eine Malware-Bedrohung, die Teil der Bedrohungswerkzeuge war, die bei einem Angriff auf eine US-Organisation eingesetzt wurden, die im Sektor Defense Industrial Base tätig ist. Das Ziel der Bedrohungsakteure war es, vertrauliche und sensible Daten von ihrem Ziel zu erhalten. Zu den anderen Payloads, die auf den betroffenen Geräten abgelegt wurden, gehörten Impacket, eine Open-Source-Sammlung von Python-Klassen, die HyperBro -RAT- und ChinaChopper-Web-Shells.

Bei vollständiger Ausführung kann CovalentStealer Dateifreigaben auf dem infizierten System identifizieren, die Dateien kategorisieren und dann die ausgewählten Daten unter der Kontrolle seiner Betreiber auf einen Remote-Server exfiltrieren. Die Bedrohung speichert die geernteten Dateien auf OneDrive. CovalentStealer kann auch die mit NT-Dateisystemvolumes verknüpfte Master File Table extrahieren. Die Fähigkeiten der Bedrohung gehen jedoch über das Sammeln von Daten hinaus. Die Bedrohungsakteure könnten CovalentStealer auch verwenden, um die übertragenen Daten zu verschlüsseln oder zu entschlüsseln und ihre gesamte Kommunikation zu sichern.

Details über die cyberkriminelle Operation wurden in einer gemeinsamen Empfehlung der Cybersecurity and Infrastructure Security Agency (CISA), des Federal Bureau of Investigation (FBI) und der National Security Agency (NSA) enthüllt. Die Behörden geben an, dass sie davon ausgehen, dass es sich bei den Bedrohungsakteuren um eine APT-Gruppe (Advanced Persistent Threat) handelt, die seit längerer Zeit Zugang zur internen Umgebung des Opfers hat.