CovalentStealer gebruikt bij aanval op Amerikaanse defensie-entiteit

CovalentStealer is de naam van een kwaadaardig hulpmiddel dat wordt gebruikt voor gegevensexfiltratie. CovalentStealer werd gebruikt bij een aanval op een entiteit die actief is in de Amerikaanse defensie-industriële basissector die pas onlangs werd beschreven, ondanks dat het maanden geleden plaatsvond.

CovalentStealer was slechts een van de componenten van de multi-payload-aanval. De hackers achter de hit worden verondersteld geavanceerde, hardnekkige bedreigingsactoren te zijn.

CovalentStealer werd gebruikt naast een kwaadaardige toolkit genaamd Impacket. Impacket was de malware die oorspronkelijk werd gebruikt om het doelwit te compromitteren en voet aan de grond te krijgen op zijn systemen. Vanaf dat moment werd CovalentStealer gebruikt om gevoelige informatie van het slachtoffer te exfiltreren.

CovalentStealer werd gebruikt om bestanden te stelen die zijn opgeslagen op bestandsshares en deze naar een cloudmap te leiden die is ingesteld met Microsoft OneDrive en wordt beheerd door de hackers.

Volgens de onderzoeken naar de aanval uitgevoerd door de CISA en de FBI, bleven de APT's achter de aanval waarschijnlijk lange tijd verborgen op de gecompromitteerde systemen voordat ze hun gegevensdiefstal in volle gang zetten.