CovalentStealer utilizado en el ataque a la entidad de defensa de EE. UU.

CovalentStealer es el nombre de una herramienta maliciosa utilizada para la exfiltración de datos. CovalentStealer se utilizó en un ataque a una entidad que opera en el sector de base industrial de defensa de EE. UU. que se detalló recientemente, a pesar de que tuvo lugar hace meses.

CovalentStealer fue solo uno de los componentes del ataque de carga útil múltiple. Se cree que los piratas informáticos detrás del golpe son actores avanzados de amenazas persistentes.

CovalentStealer se usó junto con un conjunto de herramientas malicioso llamado Impacket. Impacket fue el malware utilizado para comprometer originalmente al objetivo y establecer un punto de apoyo en sus sistemas. A partir de ese momento, CovalentStealer se utilizó para extraer información confidencial de la víctima.

CovalentStealer se usó para robar archivos almacenados en archivos compartidos y canalizarlos a una carpeta en la nube configurada con Microsoft OneDrive y ejecutada por los piratas informáticos.

Según las investigaciones sobre el ataque realizadas por la CISA y el FBI, las APT detrás del ataque probablemente permanecieron ocultas en los sistemas comprometidos durante mucho tiempo antes de poner en marcha su operación de robo de datos.