CovalentStealer usado em ataque à entidade de defesa dos EUA

CovalentStealer é o nome de uma ferramenta maliciosa usada para exfiltração de dados. CovalentStealer foi usado em um ataque a uma entidade que opera no setor de base industrial de defesa dos EUA que foi detalhado apenas recentemente, apesar de ter ocorrido meses atrás.

CovalentStealer foi apenas um dos componentes do ataque multi-payload. Acredita-se que os hackers por trás do ataque sejam agentes avançados de ameaças persistentes.

O CovalentStealer foi usado junto com um kit de ferramentas malicioso chamado Impacket. Impacket foi o malware usado originalmente para comprometer o alvo e estabelecer uma base em seus sistemas. Daquele ponto em diante, o CovalentStealer foi usado para exfiltrar informações confidenciais da vítima.

O CovalentStealer foi usado para roubar arquivos armazenados em compartilhamentos de arquivos e afunilá-los em uma pasta na nuvem configurada usando o Microsoft OneDrive e executada pelos hackers.

De acordo com as investigações sobre o ataque conduzidas pela CISA e pelo FBI, os APTs por trás do ataque provavelmente permaneceram ocultos nos sistemas comprometidos por um longo tempo antes de colocar sua operação de roubo de dados em plena marcha.