Covalent Stealer użyty w ataku na amerykańską jednostkę obrony

CovalentStealer to nazwa złośliwego narzędzia wykorzystywanego do eksfiltracji danych. CovalentStealer został wykorzystany w ataku na podmiot działający w amerykańskim sektorze przemysłowych baz wojskowych, który został szczegółowo opisany dopiero niedawno, mimo że miał miejsce kilka miesięcy temu.

CovalentStealer był tylko jednym z elementów ataku na wiele ładunków. Uważa się, że hakerzy stojący za tym hitem to zaawansowani, uporczywi cyberprzestępcy.

CovalentStealer był używany wraz ze złośliwym zestawem narzędzi o nazwie Imppacket. Impaket to złośliwe oprogramowanie użyte do złamania zabezpieczeń celu i ustanowienia przyczółka w jego systemach. Od tego momentu CovalentStealer był używany do wydobywania poufnych informacji z ofiary.

CovalentStealer był używany do kradzieży plików przechowywanych w udziałach plików i umieszczania ich w folderze w chmurze skonfigurowanym za pomocą Microsoft OneDrive i uruchamianym przez hakerów.

Według dochodzeń w sprawie ataku przeprowadzonego przez CISA i FBI, APT stojące za atakiem prawdopodobnie pozostawały ukryte w zaatakowanych systemach przez długi czas, zanim uruchomiły swoją operację kradzieży danych.