CovalentStealer som används vid attack mot USA:s försvarsenhet

CovalentStealer är namnet på ett skadligt verktyg som används för dataexfiltrering. CovalentStealer användes i en attack mot en enhet som är verksam i den amerikanska försvarsindustriella bassektorn som beskrevs först nyligen, trots att den ägde rum för månader sedan.

CovalentStealer var bara en av komponenterna i attacken med flera nyttolaster. Hackarna bakom träffen tros vara avancerade ihållande hotaktörer.

CovalentStealer användes tillsammans med en skadlig verktygslåda som heter Impacket. Impacket var skadlig programvara som ursprungligen användes för att äventyra målet och etablera fotfäste på dess system. Från den tidpunkten användes CovalentStealer för att exfiltrera känslig information från offret.

CovalentStealer användes för att stjäla filer lagrade på filresurser och kanalisera dem till en molnmapp som konfigurerades med Microsoft OneDrive och som drivs av hackarna.

Enligt undersökningarna av attacken som utfördes av CISA och FBI, förblev APT:erna bakom attacken sannolikt dolda på de komprometterade systemen under lång tid innan de satte sin datastöld i full växel.