CovalentStealer

CovalentStealer es una amenaza de malware que formaba parte de las herramientas amenazantes implementadas en un ataque contra una organización estadounidense que opera en el sector de Base Industrial de Defensa. El objetivo de los actores de amenazas era obtener datos confidenciales y sensibles de su objetivo. Las otras cargas útiles que cayeron en los dispositivos violados incluyeron Impacket, una colección de código abierto de clases de Python, HyperBro RAT y ChinaChopper Web shells.

Cuando se ejecuta por completo, CovalentStealer puede identificar archivos compartidos en el sistema infectado, categorizar los archivos y luego filtrar los datos elegidos a un servidor remoto bajo el control de sus operadores. La amenaza almacena los archivos recopilados en OneDrive. CovalentStealer también puede extraer la tabla maestra de archivos asociada con los volúmenes del sistema de archivos NT. Sin embargo, las capacidades de la amenaza se extienden más allá de la recopilación de datos. Los actores de amenazas también podrían utilizar CovalentStealer para cifrar o descifrar los datos transferidos, así como asegurar su comunicación general.

Los detalles sobre la operación cibercriminal fueron revelados en un aviso conjunto de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional (NSA). Las agencias afirman que creen que los actores de la amenaza son un grupo APT (Advanced Persistent Threat), que ha tenido acceso al entorno interno de la víctima durante un tiempo prolongado.