CovalentStealer

CovalentStealer est une menace malveillante qui faisait partie des outils menaçants déployés lors d'une attaque contre une organisation américaine opérant dans le secteur de la base industrielle de la défense. L'objectif des acteurs de la menace était d'obtenir des données confidentielles et sensibles de leur cible. Les autres charges utiles abandonnées sur les appareils piratés comprenaient Impacket, une collection open source de classes Python, les shells Web HyperBro RAT et ChinaChopper.

Lorsqu'il est entièrement exécuté, CovalentStealer peut identifier les partages de fichiers sur le système infecté, catégoriser les fichiers, puis exfiltrer les données choisies vers un serveur distant sous le contrôle de ses opérateurs. La menace stocke les fichiers récoltés sur OneDrive. CovalentStealer peut également extraire la table de fichiers maître associée aux volumes du système de fichiers NT. Les capacités de la menace s'étendent cependant au-delà de la collecte de données. Les acteurs de la menace pourraient également utiliser CovalentStealer pour chiffrer ou déchiffrer les données transférées, ainsi que pour sécuriser leur communication globale.

Les détails de l'opération cybercriminelle ont été révélés dans un avis conjoint de la Cybersecurity and Infrastructure Security Agency (CISA), du Federal Bureau of Investigation (FBI) et de la National Security Agency (NSA). Les agences déclarent qu'elles pensent que les acteurs de la menace sont un groupe APT (Advanced Persistent Threat), qui a eu accès à l'environnement interne de la victime pendant une période prolongée.